540 万 Twitter 用户的被盗数据在网上泄露——更多是私下共享的

2022-11-29 14:57:59 6 2095

超过 540 万条包含使用 1 月份修复的 API 漏洞窃取的非公开信息的 Twitter 用户记录已在黑客论坛上免费共享。



超过 540 万条包含使用 1 月份修复的 API 漏洞窃取的非公开信息的 Twitter 用户记录已在黑客论坛上免费共享。
安全研究人员还披露了数百万条Twitter记录的另一个大规模,可能更重要的数据转储,这表明威胁行为者滥用此漏洞的范围有多广。
数据包括抓取的公共信息以及不公开的私人电话号码和电子邮件地址。

推特数据泄露
去年 7 月,一名威胁行为者开始在一个黑客论坛上以 30,000 美元的价格出售超过 540 万 Twitter 用户的私人信息。
虽然大多数数据由公共信息组成,例如Twitter ID,姓名,登录名,位置和已验证状态,但它还包括私人信息,例如电话号码和电子邮件地址。
出售抓取的推特数据的论坛帖子

论坛帖子出售抓取的推特数据
这些数据是在 2021 年 12 月使用 HackerOne 漏洞赏金计划中披露的 Twitter API 漏洞收集的,该漏洞允许人们将电话号码和电子邮件地址提交到 API 中以检索关联的 Twitter ID。
使用此 ID,威胁参与者可以抓取有关帐户的公共信息,以创建包含私人和公共信息的用户记录,如下所示。
泄露的Twitter用户记录之一的编辑示例

泄露的Twitter用户记录之一的编辑示例
目前还不清楚HackerOne的披露是否被泄露,但BleepingComputer被告知,多个威胁行为者正在利用该漏洞从Twitter窃取私人信息。
在 BleepingComputer 与 Twitter 共享用户记录样本后,这家社交媒体公司使用 2022 年 1 月修复的 API 错误确认他们遭受了数据泄露。
Breaching黑客论坛的所有者Pompompurin本周末告诉BleepingComputer,他们负责利用该漏洞并在另一个被称为“Devil”的威胁行为者与他们分享该漏洞后创建大量Twitter用户记录转储。
除了 540 万条待售记录外,还有另外 140 万个使用不同 API 为暂停用户收集的 Twitter 个人资料,使包含私人信息的 Twitter 个人资料总数达到近 700 万个。
Pompompurin说,这第二次数据转储没有出售,只是在少数人之间私下共享。

在黑客论坛上分享的推特数据
在 9 月,以及最近,在 11 月 24 日,540 万条推特记录现已在黑客论坛上免费分享。
540万条推特记录免费在线泄露

540万条推特记录免费
Pompompurin已向BleepingComputer证实,这与八月份出售的数据相同,其中包括5,485,635条Twitter用户记录。
这些记录包含私人电子邮件地址或电话号码,以及公开抓取的数据,包括帐户的 Twitter ID、名称、屏幕名称、已验证状态、位置、URL、描述、关注者计数、帐户创建日期、好友计数、收藏夹计数、状态计数和个人资料图像 URL

私下创建的更大的数据转储
虽然威胁行为者免费发布了 540 万条记录,但据称使用相同的漏洞创建了更大的数据转储。
此数据转储可能包含数千万条Twitter记录,包括使用相同API错误收集的个人电话号码和公共信息,包括已验证的状态,帐户名称,Twitter ID,个人简介和屏幕名称。
这一更重要的数据泄露的消息来自安全专家查德·洛德(Chad Loder),他首先在Twitter上爆料,并在发布后不久被暂停。Loder随后在Mastodon上发布了这一较大数据泄露的编辑样本。
“我刚刚收到证据表明,大规模的Twitter数据泄露影响了欧盟和美国的数百万Twitter帐户。我已经联系了受影响帐户的样本,他们确认泄露的数据是准确的。这种违规行为不早于 2021 年,“ 洛德在推特上分享道。
查德·洛德分享了乳齿象更大违规的消息

Chad Loder分享了Mastodon更大违规
BleepingComputer获得了这个以前未知的Twitter数据转储的示例文件,其中包含法国用户的1,377,132个电话号码。
此后,我们已经在这次泄漏中与众多用户确认电话号码是有效的,验证了这种额外的数据泄露是真实的。
此外,这些电话号码都没有出现在八月份出售的原始数据中,这表明Twitter的数据泄露比以前披露的要大得多,以及威胁行为者之间流通的大量用户数据。
Pompompurin还向BleepingComputer确认,他们没有责任,也不知道是谁创建了这个新发现的数据转储,这表明其他人正在使用这个API漏洞。
BleepingComputer 了解到,这个新发现的数据转储由按国家和地区代码(包括欧洲、以色列和美国)分解的大量文件组成。
我们被告知它由超过1700万条记录组成,但无法独立确认这一点。
由于此数据可能用于有针对性的网络钓鱼攻击以获取对登录凭据的访问权限,因此必须仔细检查任何声称来自 Twitter 的电子邮件。
如果您收到一封电子邮件,声称您的帐户已被暂停,存在登录问题,或者您即将失去已验证状态,并且它会提示您登录到非 Twitter 域,请忽略这些电子邮件并删除它们,因为它们可能是网络钓鱼尝试。
BleepingComputer周四就私人信息的额外数据转储与Twitter联系,但尚未收到回复。

关于作者

评论6次

要评论?请先  登录  或  注册