如果您没有密切关注深入的黑客新闻提要(如果您没有,我们不会责怪您),您可能错过了HackerOne 1 月份发布的详细说明 Twitter 代码中的安全漏洞的公告。该漏洞让黑客窃取用户的电话号码和电子邮件。
好吧,数百万 Twitter 用户的列表刚刚出现在暗网上出售。
安全和隐私监管机构 Restore Privacy 报告了在一个名为 Breached Forums 的黑暗网站上出售的 540 万个 Twitter 用户电子邮件和电话号码的清单。出售该列表的黑客声称它包含“名人、公司、随机数、OG 等”的私人数据。
1 月份发现的漏洞与 Twitter 个人数据集的销售密切相关,绝非巧合。
一月份,HackerOne 用户 zhirinovskiy 提交了一份他在分析 Twitter 代码库时发现的错误报告。这是一个可能允许威胁参与者访问 Twitter 用户的电子邮件和电话号码的漏洞。尽管当时没有任何数据泄露的迹象,但 zhirinovskiy 对此表示担忧。
“这是一个严重的威胁,”zhirinovskiy 在他的错误报告中说。 “因为人们不仅可以找到限制通过电子邮件/电话号码找到的用户,而且任何具有脚本/编码基本知识的攻击者都可以枚举出之前无法枚举的大量 Twitter 用户群(创建一个带有电话/电子邮件到用户名连接的数据库)。”
“感谢您的报告@zhirinovksiy,”一位名叫 bugtriage_simon 的 Twitter 员工回复了该报告。 “我们正在调查此事,并会在有更多信息时及时通知您。感谢您考虑 Twitter 安全性。”
答复是在 zhirinovskiy 发表报告五天后的 1 月 6 日。
1 月 13 日,Twitter 关闭了该报告并评论说:“我们认为这个问题现在已经得到解决。你能确认一下吗?”
“我可以确认问题已解决,”zhirinovskiy 在同一天回答道。 Twitter 奖励了他的努力。
从最初的错误报告的评论交流来看,Twitter 花了将近两周的时间来修复该漏洞。在某个时候,威胁者偷偷溜进来窃取了 540 万个数据集。是在 zhirinovskiy 发现漏洞之前还是在他发布漏洞之后完成的,仍然未知。众所周知的是,这些电子邮件和电话号码现在正在出售。
如果您的数据包含在违规行为中,您可能会收到垃圾邮件和诈骗电话的增加。如果您有 iPhone,我们建议您使用Apple 的隐藏我的电子邮件。此外,请查看我们增加在线隐私的提示。