難怪馬斯克裁掉整個安全部門，推特540萬用戶數據在暗網公開

就在馬斯克宣布裁撤整個安全部門之后，Twitter再次傳來一個重磅消息，超過540萬條用戶數據已經在暗網公開，并且免費共享給所有人。此外，安全人員還披露了另外一個可能泄露的，規模更大的數據庫，其中包含了上千萬條Twitter數據。

這些數據包含了大多數的公共信息，包括包括帳戶的 Twitter ID、名稱、屏幕名稱、已驗證狀態、位置、URL、描述、關注者數量、帳戶創建日期、好友數量、收藏夾數量、狀態計數和個人資料圖像 URL；以及較為私密的用戶的電子郵件和電話號碼等信息。一旦這些信息在暗網爆發開來，那么意味著數百萬的Twitter用戶將有可能面臨潛在的網絡釣魚攻擊。

數據泄露6個月后才修復漏洞

根據國外媒體報道，2022年8月5日，Twitter在其隱私中心發布聲明，確認此前被曝出的540萬個賬戶信息泄露事件確實存在。

Twitter表示，之所以直接發布這一聲明，是因為無法確認每一個可能受到影響的賬戶，因此無法單獨向賬戶發送信息泄露警告。“擁有匿名賬戶的人需要尤其注意，他們可能會被政府或其他人鎖定目標。”Twitter在聲明中強調。

被黑客利用的漏洞是Twitter 在2021年6月更新時引入的：如果有人向Twitter系統提交一個電子郵件地址或電話號碼，Twitter系統會回復相關聯的賬戶信息。

2022年1月1日，網絡安全平臺Hackerone用戶zhirinovsky報告了這一漏洞，并在Twitter的漏洞獎勵計劃中獲得5040美元的獎勵。根據報告，該漏洞對擁有私人或匿名賬戶的用戶構成了“嚴重威脅”，可能被用來“創建數據庫”，或通過大數據分析出Twitter的用戶畫像。

得知此事后，Twitter立即進行了調查和修復。當時沒有證據表明有人利用了這個漏洞，然而這已是漏洞被引入代碼庫的6個月之后。Twitter并未在隱私中心對此發表任何說明。

7月21日，媒體RestorePrivacy注意到一位新用戶在黑客論壇上以3萬美元出售Twitter數據庫，稱涉及540萬用戶，包括“從名人到公司”的用戶數據。RestorePrivacy驗證發現，受害者來自世界各地，這些被泄露的數據包括與Twitter賬號綁定的電子郵件、電話號碼、公開的個人資料信息，并可以與真實的人相匹配。

這已經不是Twitter第一次發生大規模數據泄露事件，2019年1月，Twitter披露了其修復的一個安全漏洞，而在此前四年多的時間里，該漏洞使得許多用戶的私人推文被泄露。而此次數據泄露也是漏洞引起，并且經過長達六個月的時間才修復完成。

難怪馬斯克一上任就裁掉了Twitter整個安全部門，作為全球大型社交平臺之一，其安全能力屬實無法令人滿意。

數據泄露的遠比想象中的多

但更糟糕的消息還在后面，免費共享540 萬條用戶數據的發布者稱，這僅僅是Twitter數據泄露的一部分，他們還竊取了更多的用戶數據。據悉這些泄露的Twitter數據已經達到千萬級，其中包括使用相同 API 錯誤收集的個人電話號碼，以及公共信息，包括已驗證狀態、帳戶名、Twitter ID、個人簡介和屏幕名稱。

Loder 最早在Twitter上發布了上述更大數據泄露的消息，發帖后不久他就被停職。Loder隨后在Mastodon上發布了這個更大規模數據泄露的編輯樣本 。

Loder分享更大漏洞的消息

有安全專家通過這個未知的數據庫的樣本文件，對其中信息的真實性進行了核實。結果發現，包括電話號碼在內的信息全部都真實有效，這也從側面證明了此次千萬級數據泄露是真實存在的。

此外，這些用于核實的信息都沒有出現在 8 月份出售的原始數據中，這說明 Twitter 的數據泄露比之前披露的要嚴重得多，而且攻擊者之間流傳著大量的用戶數據。

安全專家Pompompurin表示，目前不知道是誰創建了這個新發現的數據轉儲，表明其他人正在利用這個 API 漏洞。這個新發現的數據轉儲由許多按國家和地區代碼分解的文件組成，包括歐洲、以色列和美國。

有消息稱這個泄露的數據庫存儲的信息量有可能達到2千萬條，其泄漏量之大令人震驚，因此Twitter用戶應提高警惕，仔細檢查任何聲稱來自Twitter的電子郵件，避免陷入網絡釣魚攻擊的陷進之中。