Twitter——目前是一家遭受不止一个重大头痛问题的公司——又遭遇了一个非常严重的数据泄露事件。它可能会影响数亿用户并导致该平台出现重大安全问题,但尽管其严重性,但在困扰这家社交媒体巨头的其他丑闻和争议泛滥的情况下,它很容易被忽视。尽管如此,用户仍需注意,如果您正在使用推特的应用程序,要注意它可能会直接受到影响。
简而言之:一年多前从Twitter窃取的数据本周进入了一个主要的暗网市场上,以该论坛积分计价,相当于2美元的加密货币。发布数据传输的黑客,一个绰号为“StayMad”的用户,将数据发布到“Breached”暗网数据市场,现在任何人都可以购买和阅读它。据估计,该缓存至少涵盖了2.35亿人的账户信息。
虽然这个不幸的故事中仍然缺少很多细节,但我们已经汇总了一个简短的摘要,说明您可能需要了解的有关Twitter安全漏洞的信息,这是一长串事件的最新信息。
哪些信息被泄露了?
根据多份报告,泄露材料包括约2.35亿人的电子邮件地址和/或电话号码。这些信息已经与从用户资料中公开收集的细节配对,从而使网络犯罪分子能够对潜在的受害者建立更完整的数据档案。Bleeping Computer报道说,每个用户的信息不仅包括电子邮件地址和电话号码,还包括姓名、网名/用户名、关注者数量和账户创建日期。简而言之:任何从“Breached”暗网论坛购买数据的人都将拥有任何受影响的Twitter用户的联系方式和部分登录信息。对于这些帐户来说,这不仅是一个潜在的安全问题,而且对于任何不想让随机的暗网暴徒访问他们的联系信息的人来说,这都是一个严重的隐私侵犯。
这事是如何发生的,何时发生的?
本周出现在“Breached”论坛上的数据实际上是在2021年期间被盗的。根据《华盛顿邮报》的报道,网络犯罪分子利用Twitter平台的一个API漏洞,调用了与数亿用户账户相关的用户信息。这个漏洞创建了一个奇怪的“查找”功能,允许任何人向Twitter的系统输入电话号码或电子邮件,然后验证该凭证是否与一个活跃的账户相连。该漏洞还将显示哪一个特定账户与相关的凭证有关联。
该漏洞最初是由Twitter的漏洞赏金计划于2022年1月发现的,并于去年8月首次公开承认。该公司在一篇博文中表示,该漏洞是2021年6月对其代码进行更新的结果。当时,该公司告诉用户,它“没有证据表明有人利用了漏洞”,但事实证明,他们完全错了。
目前还不清楚网络罪犯是什么时候发现这个漏洞并开始利用它的,但我们所知道的是,当平台发现时,黑客已经从一大批人那里窃取数据。也就是说,“Breached”论坛的信息总量的真实性是未知的。分析师和记者对部分数据进行了测试,发现其中涉及真实账户。
谁是黑客的幕后黑手?
我们不知道。数据泄露背后的网络罪犯身份不明,也不清楚他们是否与知名黑客组织或威胁行为者有联系。在Breached上发布了2亿个人资料的用户名是“StayMad”,但除此之外,人们对他们的了解很少。虽然我们可能不知道谁对数据泄露负责,但安全专家推测,网络犯罪分子可能利用被盗数据进行一系列不光彩的活动。专家估计,这些信息可能被用来接管账户,以及对受影响的用户进行网络钓鱼和骚扰。
推特对此做了什么?
据我们所知,Twitter对最近的数据泄露事件几乎没有采取任何行动。在去年夏天承认API错误后,该公司没有提供太多更新,也没有对最近出售的用户数据列表发表评论。Gizmodo于周四联系该公司,征求对“数据泄露”事件的评论,但没有得到回复。在Elon裁员后,Twitter不再有公共关系部门。
您可以做什么?
不幸的是,您无能为力。除非您自己购买数据并对其进行筛选(不推荐),否则您不清楚如何验证您是否受到影响。但是,如果您担心您的数据可能已被泄露,一项建议是销毁可能涉及的帐户凭据。电子邮件地址很容易更改,但暴露的电话号码则稍微复杂一些。电话号码不像电子邮件那样容易被丢弃——尽管如果您担心自己的隐私,您可以随时联系您的手机供应商并要求更改电话号码。同时,您应该更改与您的Twitter帐户关联的电子邮件地址和/或电话号码,并采用多重身份验证,将帐户的安全牢牢掌握在您手中。