黑客3萬美元出售540萬推特賬號數據。

7月21日，有名為devil的黑客在暗網論壇以3萬美元的價格出售一個包含5485636個推特賬號的數據庫。Devil稱數據庫中包含各類用戶的賬號信息，包括名人、公司和隨機用戶。

出售數據的黑客Devil稱，數據是在2021年12月利用推特的一個安全漏洞收集的。目前售價是3萬美元，已經有潛在買家與其進行接觸。

該漏洞應該是2022年1月1日Restore Privacy通過HackerOne向推特提交的漏洞，該漏洞允許任何第三方在沒有經過認證的情況下，只需要提交一個手機號碼或郵箱就可以獲取手機號碼或郵箱對應的推特ID（相對于推特賬戶的用戶名）。而根據隱私設置，這一操作是不允許的。該漏洞存在于推特安卓客戶端使用的授權機制中，具體來說就是檢查推特賬戶是否重復的過程中。

但Devil稱其從未使用過HackerOne。其嘗試提交郵箱地址和手機號以確定是否關聯推特賬戶時，獲得了該賬戶的ID。通過賬戶ID，其抓取了其余公開數據來創建該用戶的個人介紹信息。

該漏洞與2021年黑客爬取Facebook 5.33億用戶數據非常類似，推特已于2022年1月13日修復。截止目前，推特尚未確認此次數據泄露事件。推特稱正在調查事件的真實性。檢查最新的數據來驗證所謂數據泄露事件的真實性，并確保問題賬戶的安全性。

BleepingComputer通過黑客分享的少量樣本數據成功驗證了推特用戶，至少證明了樣本數據中的隱私信息（郵箱地址和手機號碼）是正確的。

雖然出售的數據大多是公開的，但攻擊者利用其中的郵箱地址和手機號碼可以發起定向釣魚攻擊。因此建議所有推特用戶在收到來自推特的郵件時要非常注意，小心釣魚郵件，尤其是要求輸入登錄憑證時要確認域名是Twitter.com。

本文翻譯自：https://www.bleepingcomputer.com/news/security/hacker-selling-twitter-account-data-of-54-million-users-for-30k/如若轉載，請注明原文地址。