事件背景
今年 (2022) 一月時,在漏洞賞金平台中便發現 Android 版的 Twitter 中具有一個漏洞,使攻擊者可以存取 Twitter 用戶的聯絡方法 (電話/ Email),即使用戶在隱私權設定中已經關閉帳號與聯絡方式的連接。
(詳細漏洞內容請見:https://hackerone.com/reports/1439026)
洩漏過程
在7月21日時,一個惡意攻擊者 "Devil" 透過此漏洞收集了約 540 萬個 Twitter 帳號 (5485636 名使用者) 的聯絡資料庫,其中包含來自世界各國的名人、公司與個人使用帳號。Devil將此些竊取之聯絡資料公佈於BleepingComputer 資訊部落格上,並開價 30,000 美金 (約90萬台幣) 出售。
事件影響
雖然目前 Twitter 仍沒有證實此次洩漏事件的真實性,然而,經過 BleepingComputer 組織對於洩漏帳號真實性的驗證,推估絕大多數受到洩漏的 Twitter 帳號為真實帳號。被洩漏的Twitter 使用者聯絡方式可能會被有意人士應用於廣告或是進一步的釣魚信件攻擊中。有鑑於此,BleepingComputer 組織也提醒 Twitter 使用者們提高警覺,並留意自身電話訊息或是 Email是否有收到需要輸入帳號密碼登入的連結,若並非 Twitter.com ,請避免點擊登入。
參考資料
Hacker offers 5.4 million Twitter account details for $30,000: Report, economictimes (24 July 2022)- https://economictimes.indiatimes.com/tech/technology/hacker-offers-5-4-million-twitter-account-details-for-30000-report/articleshow/93089271.cms?
Verified Twitter Vulnerability Exposes Data from 5.4 Million Accounts, Restore Privacy (21 July 2022):https://restoreprivacy.com/twitter-vulnerability-exposes-5-million-accounts/
Hacker selling Twitter account data of 5.4 million users for $30k, BleepingComputer (22 July 2022):https://www.bleepingcomputer.com/news/security/hacker-selling-twitter-account-data-of-54-million-users-for-30k/