就在馬斯克宣布裁撤整個(gè)安全部門之后，Twitter再次傳來(lái)一個(gè)重磅消息，超過(guò)540萬(wàn)條用戶數(shù)據(jù)已經(jīng)在暗網(wǎng)公開(kāi)，并且免費(fèi)共享給所有人。此外，安全人員還披露了另外一個(gè)可能泄露的，規(guī)模更大的數(shù)據(jù)庫(kù)，其中包含了上千萬(wàn)條Twitter數(shù)據(jù)。

這些數(shù)據(jù)包含了大多數(shù)的公共信息，包括包括帳戶的 Twitter ID、名稱、屏幕名稱、已驗(yàn)證狀態(tài)、位置、URL、描述、關(guān)注者數(shù)量、帳戶創(chuàng)建日期、好友數(shù)量、收藏夾數(shù)量、狀態(tài)計(jì)數(shù)和個(gè)人資料圖像 URL；以及較為私密的用戶的電子郵件和電話號(hào)碼等信息。一旦這些信息在暗網(wǎng)爆發(fā)開(kāi)來(lái)，那么意味著數(shù)百萬(wàn)的Twitter用戶將有可能面臨潛在的網(wǎng)絡(luò)釣魚攻擊。

數(shù)據(jù)泄露6個(gè)月后才修復(fù)漏洞

根據(jù)國(guó)外媒體報(bào)道，2022年8月5日，Twitter在其隱私中心發(fā)布聲明，確認(rèn)此前被曝出的540萬(wàn)個(gè)賬戶信息泄露事件確實(shí)存在。

據(jù)了解，黑客利用漏洞創(chuàng)建了一個(gè)包含540萬(wàn)個(gè)Twitter賬戶的數(shù)據(jù)庫(kù)，知道某人的電子郵件地址或電話號(hào)碼就可能可以查到相關(guān)的Twitter賬戶，以及公開(kāi)的個(gè)人資料信息。

Twitter表示，之所以直接發(fā)布這一聲明，是因?yàn)闊o(wú)法確認(rèn)每一個(gè)可能受到影響的賬戶，因此無(wú)法單獨(dú)向賬戶發(fā)送信息泄露警告。“擁有匿名賬戶的人需要尤其注意，他們可能會(huì)被政府或其他人鎖定目標(biāo)。”Twitter在聲明中強(qiáng)調(diào)。

被黑客利用的漏洞是Twitter 在2021年6月更新時(shí)引入的：如果有人向Twitter系統(tǒng)提交一個(gè)電子郵件地址或電話號(hào)碼，Twitter系統(tǒng)會(huì)回復(fù)相關(guān)聯(lián)的賬戶信息。

2022年1月1日，網(wǎng)絡(luò)安全平臺(tái)Hackerone用戶zhirinovsky報(bào)告了這一漏洞，并在Twitter的漏洞獎(jiǎng)勵(lì)計(jì)劃中獲得5040美元的獎(jiǎng)勵(lì)。根據(jù)報(bào)告，該漏洞對(duì)擁有私人或匿名賬戶的用戶構(gòu)成了“嚴(yán)重威脅”，可能被用來(lái)“創(chuàng)建數(shù)據(jù)庫(kù)”，或通過(guò)大數(shù)據(jù)分析出Twitter的用戶畫像。

得知此事后，Twitter立即進(jìn)行了調(diào)查和修復(fù)。當(dāng)時(shí)沒(méi)有證據(jù)表明有人利用了這個(gè)漏洞，然而這已是漏洞被引入代碼庫(kù)的6個(gè)月之后。Twitter并未在隱私中心對(duì)此發(fā)表任何說(shuō)明。

7月21日，媒體RestorePrivacy注意到一位新用戶在黑客論壇上以3萬(wàn)美元出售Twitter數(shù)據(jù)庫(kù)，稱涉及540萬(wàn)用戶，包括“從名人到公司”的用戶數(shù)據(jù)。RestorePrivacy驗(yàn)證發(fā)現(xiàn)，受害者來(lái)自世界各地，這些被泄露的數(shù)據(jù)包括與Twitter賬號(hào)綁定的電子郵件、電話號(hào)碼、公開(kāi)的個(gè)人資料信息，并可以與真實(shí)的人相匹配。

這已經(jīng)不是Twitter第一次發(fā)生大規(guī)模數(shù)據(jù)泄露事件，2019年1月，Twitter披露了其修復(fù)的一個(gè)安全漏洞，而在此前四年多的時(shí)間里，該漏洞使得許多用戶的私人推文被泄露。而此次數(shù)據(jù)泄露也是漏洞引起，并且經(jīng)過(guò)長(zhǎng)達(dá)六個(gè)月的時(shí)間才修復(fù)完成。

難怪馬斯克一上任就裁掉了Twitter整個(gè)安全部門，作為全球大型社交平臺(tái)之一，其安全能力屬實(shí)無(wú)法令人滿意。

數(shù)據(jù)泄露的遠(yuǎn)比想象中的多

如今，540萬(wàn)條用戶數(shù)據(jù)已經(jīng)在暗網(wǎng)上免費(fèi)共享，給無(wú)數(shù)Twitter用戶帶來(lái)了巨大的安全風(fēng)險(xiǎn)。

但更糟糕的消息還在后面，免費(fèi)共享540 萬(wàn)條用戶數(shù)據(jù)的發(fā)布者稱，這僅僅是Twitter數(shù)據(jù)泄露的一部分，他們還竊取了更多的用戶數(shù)據(jù)。據(jù)悉這些泄露的Twitter數(shù)據(jù)已經(jīng)達(dá)到千萬(wàn)級(jí)，其中包括使用相同 API 錯(cuò)誤收集的個(gè)人電話號(hào)碼，以及公共信息，包括已驗(yàn)證狀態(tài)、帳戶名、Twitter ID、個(gè)人簡(jiǎn)介和屏幕名稱。

Loder 最早在Twitter上發(fā)布了上述更大數(shù)據(jù)泄露的消息，發(fā)帖后不久他就被停職。Loder隨后在Mastodon上發(fā)布了這個(gè)更大規(guī)模數(shù)據(jù)泄露的編輯樣本 。

“我剛剛收到證據(jù)表明，大規(guī)模的 Twitter 數(shù)據(jù)泄露事件影響了歐盟和美國(guó)的數(shù)百萬(wàn) Twitter 賬戶。我聯(lián)系了受影響賬戶的樣本，他們確認(rèn)泄露的數(shù)據(jù)是準(zhǔn)確的。這次泄露事件發(fā)生時(shí)間不早于 2021 年。”

Loder分享更大漏洞的消息

有安全專家通過(guò)這個(gè)未知的數(shù)據(jù)庫(kù)的樣本文件，對(duì)其中信息的真實(shí)性進(jìn)行了核實(shí)。結(jié)果發(fā)現(xiàn)，包括電話號(hào)碼在內(nèi)的信息全部都真實(shí)有效，這也從側(cè)面證明了此次千萬(wàn)級(jí)數(shù)據(jù)泄露是真實(shí)存在的。

此外，這些用于核實(shí)的信息都沒(méi)有出現(xiàn)在 8 月份出售的原始數(shù)據(jù)中，這說(shuō)明 Twitter 的數(shù)據(jù)泄露比之前披露的要嚴(yán)重得多，而且攻擊者之間流傳著大量的用戶數(shù)據(jù)。

安全專家Pompompurin表示，目前不知道是誰(shuí)創(chuàng)建了這個(gè)新發(fā)現(xiàn)的數(shù)據(jù)轉(zhuǎn)儲(chǔ)，表明其他人正在利用這個(gè) API 漏洞。這個(gè)新發(fā)現(xiàn)的數(shù)據(jù)轉(zhuǎn)儲(chǔ)由許多按國(guó)家和地區(qū)代碼分解的文件組成，包括歐洲、以色列和美國(guó)。

有消息稱這個(gè)泄露的數(shù)據(jù)庫(kù)存儲(chǔ)的信息量有可能達(dá)到2千萬(wàn)條，其泄漏量之大令人震驚，因此Twitter用戶應(yīng)提高警惕，仔細(xì)檢查任何聲稱來(lái)自Twitter的電子郵件，避免陷入網(wǎng)絡(luò)釣魚攻擊的陷進(jìn)之中。