javascript|难怪马斯克裁掉整个安全部门，Twitter 540万户数据在暗网公开 javascript

文章图片

文章图片

就在马斯克宣布裁撤整个安全部门之后， Twitter再次传来一个重磅消息，超过540万条用户数据已经在暗网公开，并且免费共享给所有人。此外，安全人员还披露了另外一个可能泄露的，规模更大的数据库，其中包含了上千万条Twitter数据。

这些数据包含了大多数的公共信息，包括包括账户的 Twitter ID、名称、屏幕名称、已验证状态、位置、URL、描述、关注者数量、账户创建日期、好友数量、收藏夹数量、状态计数和个人资料图像 URL；以及较为私密的用户的电子邮件和电话号码等信息。一旦这些信息在暗网爆发开来，那么意味着数百万的Twitter用户将有可能面临潜在的网络钓鱼攻击。
数据泄露6个月后才修复漏洞根据国外媒体报道， 2022年8月5日， Twitter在其隐私中心发布声明，确认此前被曝出的540万个账户信息泄露事件确实存在。
据了解，黑客利用漏洞创建了一个包含540万个Twitter账户的数据库，知道某人的电子邮件地址或电话号码就可能可以查到相关的Twitter账户，以及公开的个人资料信息。

Twitter表示，之所以直接发布这一声明，是因为无法确认每一个可能受到影响的账户，因此无法单独向账户发送信息泄露警告。拥有匿名账户的人需要尤其注意，他们可能会被政府或其他人锁定目标。 Twitter在声明中强调。
被黑客利用的漏洞是Twitter 在2021年6月更新时引入的：如果有人向Twitter系统提交一个电子邮件地址或电话号码， Twitter系统会回复相关联的账户信息。
2022年1月1日，网络安全平台Hackerone用户zhirinovsky报告了这一漏洞，并在Twitter的漏洞奖励计划中获得5040美元的奖励。根据报告，该漏洞对拥有私人或匿名账户的用户构成了严重威胁，可能被用来创建数据库，或通过大数据分析出Twitter的用户画像。
得知此事后， Twitter立即进行了调查和修复。当时没有证据表明有人利用了这个漏洞，然而这已是漏洞被引入代码库的6个月之后。 Twitter并未在隐私中心对此发表任何说明。
7月21日，媒体RestorePrivacy注意到一位新用户在黑客论坛上以3万美元出售Twitter数据库，称涉及540万用户，包括从名人到公司的用户数据。 RestorePrivacy验证发现，受害者来自世界各地，这些被泄露的数据包括与Twitter账号绑定的电子邮件、电话号码、公开的个人资料信息，并可以与真实的人相匹配。
这已经不是Twitter第一次发生大规模数据泄露事件， 2019年1月， Twitter披露了其修复的一个安全漏洞，而在此前四年多的时间里，该漏洞使得许多用户的私人推文被泄露。而此次数据泄露也是漏洞引起，并且经过长达六个月的时间才修复完成。
【javascript|难怪马斯克裁掉整个安全部门，Twitter 540万户数据在暗网公开】难怪马斯克一上任就裁掉了Twitter整个安全部门，作为全球大型社交平台之一，其安全能力属实无法令人满意。
数据泄露的远比想象中的多如今， 540万条用户数据已经在暗网上免费共享，给无数Twitter用户带来了巨大的安全风险。

但更糟糕的消息还在后面，免费共享540 万条用户数据的发布者称，这仅仅是Twitter数据泄露的一部分，他们还窃取了更多的用户数据。据悉这些泄露的Twitter数据已经达到千万级，其中包括使用相同 API 错误收集的个人电话号码，以及公共信息，包括已验证状态、帐户名、Twitter ID、个人简介和屏幕名称。