黑客利用 Twitter 漏洞暴露 540 萬個賬戶

Twitter周五透露，一個現已修補的零日漏洞被用來將電話號碼和電子郵件鏈接到社交媒體平臺上的用戶帳戶。

“由于該漏洞，如果有人向 Twitter 的系統提交了電子郵件地址或電話號碼，Twitter 的系統會告訴該人所提交的電子郵件地址或電話號碼與哪個 Twitter 帳戶相關聯，如果有的話，”該公司在一份聲明中說咨詢。

Twitter 表示，該漏洞于2022年 1 月被發現，源于 2021 年 6 月引入的代碼更改。該事件未導致密碼泄露。

公開此信息的六個月延遲源于上個月的新證據，即身份不明的行為者可能在修復之前利用該漏洞來抓取用戶信息并在Breach Forums上出售以獲取利潤。

盡管 Twitter 沒有透露受影響用戶的確切數量，但威脅者發布的論壇帖子顯示，該漏洞可能被利用來編制一份包含據稱超過 548 萬個用戶帳戶配置文件的列表。

上月底披露了違規行為的Restore Privacy表示，該數據庫的售價為 30,000 美元。

Twitter 表示正在直接通知受此問題影響的帳戶所有者，同時還敦促用戶打開雙重身份驗證以防止未經授權的登錄。

事態發展之際，推特于 5 月同意支付 1.5 億美元的罰款，以了結美國司法部的一項投訴，該投訴稱該公司在 2014 年至 2019 年期間未經其同意使用為廣告目的提供安全驗證的信息賬戶持有人。