通過API漏洞竊取的超700萬推特用戶數據在互聯網傳播。

事件分析

2022年7月，有攻擊者在黑客論壇以3萬美元的價格出售超過540萬的推特用戶信息。經過調查，這些信息是利用2021年12月的一個推特API漏洞（提交到了HackerOne）竊取的，攻擊者利用該漏洞可以通過手機號和郵箱地址來提取相關的推特ID，竊取的數據包含推特ID、姓名、登錄名、位置、驗證狀態等公開信息，以及用戶手機號碼、郵件地址等非公開的個人隱私信息。

目前還不清楚漏洞的泄露是否是HackerOne，但有安全研究人員稱有多個黑客利用該漏洞從推特竊取用戶隱私信息。推特已于2022年1月修復了該漏洞。

此外，還有利用另外一個API爬取的140萬推特用戶個人簡介數據在出售，累計有約700萬包含個人隱私信息的推特個人簡介信息泄露。

2022年11月23日，有黑客在黑客論壇發帖稱可以免費下載這540萬推特用戶的數據。安全研究人員Pompompurin確認該數據與7月出售的推特用戶數據是一致的，包含5485635條推特用戶記錄，包括用戶推特賬戶ID、姓名、驗證狀態、位置、URL、描述、關注者數量、賬戶創建日期、好友數、狀態數、個人簡介圖像URL。

更大規模數據泄露

黑客免費發布了540億推特用戶數據，更令人擔憂的是有黑客稱利用該漏洞竊取了更大規模的用戶數據。其中可能包含數千萬推特用戶記錄，包括個人手機號、驗證狀態、賬戶名、推特ID、個人簡介等信息。

安全專家Chad Loder稱獲得確切證據，確認了影響數百萬美國和歐洲地區推特用戶的大規模數據泄露。Chad Loder與部分受影響的賬戶樣本聯系并確認泄露的數據是準確的，且數據泄露事件發生日期在2021年之后。

BleepingComputer獲得了部分數據樣本，其中包含1,377,132法國用戶的手機號碼。通過確認發現手機號碼泄露是真實有效的，因此其他數據泄露應該也是真實有效的。

有知情人士透露有超過1700萬用戶數據泄露，但并未經過驗證。

安全研究人員稱這些數據可能會被用于定向釣魚攻擊來獲取登錄憑證，因此用于需要注意收到的自稱來自推特的郵件。在點擊郵件中鏈接后和輸入登錄憑證前，需要確認是否是推特的域名。

本文翻譯自：https://www.bleepingcomputer.com/news/security/54-million-twitter-users-stolen-data-leaked-online-more-shared-privately/