推特零日漏洞遭利用,540万个账户数据泄露
2022-8-10 08:3:36 Author: 雾晓安全(查看原文) 阅读量:12 收藏

    上个月,有黑客以30000美元出售最大社交媒体平台之一推特Twitter的540万个账户的数据。推特在对此事进行调查后,于8月5日发布公告证实,这些账户信息是利用其一个现已修复的漏洞获取的。

    这个漏洞于2022年1月由zhirinovskiy通过漏洞赏金平台HackerOne提交,推特获悉后立即进行调查并修复了该漏洞,并且奖励了zhirinovskiy5040美元的赏金。

    由于该漏洞的存在,任何人通过向Twitter系统提交电子邮件地址或电话号码,就能够验证其是否与Twitter帐户关联,并检索相关联的帐户ID。然后,攻击者会进一步使用此ID抓取该帐户的公共信息。

    漏洞提交者zhirinovskiy在提交该漏洞时评价道:“这是一个严重的威胁,因为人们不仅可以找到那些本已经设置了电子邮件/电话号码无法发现的用户,而且任何具备脚本/编码基础知识的攻击者都可以枚举Twitter用户群的很大一部分,这些用户群之前是无法枚举的(创建一个包含电话/电子邮件关联用户名的数据库)。此类数据库可以出售给恶意方用于广告目的,或用于在各种恶意活动中标记名人。简而言之,这可能导致许多用户失去隐私。”

    当时,推特表示没有证据表明有人利用了这个漏洞。2022年7月,推特在查看了黑客计划出售的数据的样本后,确认有不法分子在问题得到解决之前就已经利用了该漏洞。

    该不法分子在黑客论坛上发的帖子现在仍然有效,数据售价30000美元,据悉已有两人购买。
    有人下载了样本数据库进行验证和分析。发现这些数据包括来自世界各地的人,具有公开的个人资料信息以及与帐户关联的电子邮件或电话号码。经查实,所有样本都与现实世界的人相匹配。

来源:看雪学苑

https://mp.weixin.qq.com/s/ydK9MUaYq0hImvSxHkkDiA

往期文章:


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDM2MTE5Mw==&mid=2247494160&idx=1&sn=e2519e9e9d0666c6c50b0e7e1c19f03e&chksm=ce682596f91fac809249413f3bea447353c986f02e15556fc0741a00952566e8e84aac0323c0#rd
如有侵权请联系:admin#unsafe.sh