Twitter 表示,它已经修复了一个安全漏洞,该漏洞允许威胁行为者编译 540 万个 Twitter 账户的信息,这些账户在一个已知的网络犯罪论坛上挂牌出售。
该漏洞允许任何人输入已知用户的电话号码或电子邮件地址,并了解其是否与现有 Twitter 帐户相关联,从而可能暴露假名帐户的身份。
在周五发布的一份简短声明中,这家微博巨头表示,“如果有人向 Twitter 的系统提交了电子邮件地址或电话号码,Twitter 的系统会告诉该人所提交的电子邮件地址或电话号码与哪个 Twitter 帐户相关联,如果有的话。”
Twitter 表示,它在 1 月份修复了该错误——在该错误最初被引入其代码库六个月后——在一名安全研究人员提交了一份错误赏金报告后,该研究员因披露该漏洞而获得了 6,000 美元。
根据漏洞赏金报告,该漏洞对拥有私人或假名帐户的用户构成“严重威胁”,可用于“创建数据库”或枚举“推特用户群的很大一部分”。这类似于 2019 年底发现的一个漏洞,该漏洞允许安全研究人员将 1700 万个电话号码与 Twitter 帐户进行匹配。
但研究人员的警告来得太晚了。在这六个月的时间里,黑客已经利用该漏洞创建了一个包含 540 万个 Twitter 帐户的电子邮件地址和电话号码的数据库。
Twitter 表示,它从 7 月份的一份未指明的新闻报道中了解到这一漏洞,该报道在一个网络犯罪论坛上发现了一个列表,声称拥有“从名人到公司”和 OG 的用户数据,指的是定制或广受欢迎的社交媒体和游戏用户名。
Twitter 表示:“在审查了可供出售的可用数据样本后,我们确认有不良行为者在问题得到解决之前就利用了这个问题。” “我们将直接通知我们可以确认受到此问题影响的帐户所有者。”
这是近年来袭击 Twitter 的最新安全事件。今年 5 月,Twitter 同意支付 1.5 亿美元与联邦贸易委员会达成和解,此前该公司滥用电话号码和电子邮件地址(用户为设置两因素身份验证而提交的)用于定向广告。
原文: https://techcrunch.com/2022/08/05/twitter-zero-day-vulnerability-millions/