據Bleeping Computer網站7月22日消息，近期，一攻擊者利用漏洞竊取了Twitter上540萬個賬戶數據，并以30000美元的價格在黑客論壇上出售。

這位昵稱為“惡魔”（devil）的攻擊者在黑客論壇上展示了他所盜來的數據概覽，表示這些數據涵蓋了一些知名人士、公司機構以及隨機的普通用戶的賬戶信息。

黑客在論壇發布的售賣貼

在與攻擊者的對話中，Bleeping Computer 被告知他們在 2021 年 12 月使用漏洞收集了這些數據，該漏洞允許任何未經任何身份驗證的訪問者通過提交電話號碼或電子郵件來獲取任何用戶的Twitter ID （這幾乎等于獲取帳戶的用戶名），即使用戶已在隱私設置中禁止此操作。這一漏洞已在今年1月13日得到了修復。

Twitter 目前尚未確認這起數據泄露事件，并告訴 Bleeping Computer，他們正在調查這些說法的真實性。但黑客分享給Bleeping Computer的一小部分賬戶數據（電子郵件地址和電話號碼）已得到驗證是真實的，至于黑客宣稱的540萬賬戶是否全部屬實，目前還無法判斷。此外，盡管出售的大部分數據都是公開的，比如電子郵件地址和電話號碼，但攻擊者可以利用這些數據發起有針對性的網絡釣魚攻擊。

為此，所有 Twitter 用戶在收到來自 Twitter 的電子郵件時都應保持警惕，尤其是需要輸入登錄憑證時，確保是在 Twitter.com 的官方地址中完成，而不是其他未知的第三方鏈接。