网站首页 包含标签 推特 的所有文章

  • 难怪马斯克裁掉整个安全部门,推特540万用户数据在暗网公开

    就在马斯克宣布裁撤整个安全部门之后,Twitter再次传来一个重磅消息,超过540万条用户数据已经在暗网公开,并且免费共享给所有人。此外,安全人员还披露了另外一个可能泄露的,规模更大的数据库,其中包含了上千万条Twitter数据。 这些数据包含了大多数的公共信息,包括包括帐户的 Twitter ID、名称、屏幕名称、已验证状态、位置、URL、描述、关注者数量、帐户创建日期、好友数量、收藏夹数量、状态计数和个人资料图像 URL;以及较为私密的用户的电子邮件和电话号码等信息。一旦这些信息在暗网爆发开来,那么意味着数百万的Twitter用户将有可能面临潜在的网络钓鱼攻击。   数据泄露6个月后才修复漏洞   根据国外媒体报道,2022年8月5日,Twitter在其隐私中心发布声明,确认此前被曝出的540万个账户信息泄露事件确实存在。 Twitter表示,之所以直接发布这一声明,是因为无法确认每一个可能受到影响的账户,因此无法单独向账户发送信息泄露警告。“拥有匿名账户的人需要尤其注意,他们可能会被政府或其他人锁定目标。”Twitter在声明中强调。 被黑客利用的漏洞是Twitter 在2021年6月更新时引入的:如果有人向Twitter系统提交一个电子邮件地址或电话号码,Twitter系统会回复相关联的账户信息。 2022年1月1日,网络安全平台Hackerone用户zhirinovsky报告了这一漏洞,并在Twitter的漏洞奖励计划中获得5040美元的奖励。根据报告,该漏洞对拥有私人或匿名账户的用户构成了“严重威胁”,可能被用来“创建数据库”,或通过大数据分析出Twitter的用户画像。 得知此事后,Twitter立即进行了调查和修复。当时没有证据表明有人利用了这个漏洞,然而这已是漏洞被引入代码库的6个月之后。Twitter并未在隐私中心对此发表任何说明。 7月21日,媒体RestorePrivacy注意到一位新用户在黑客论坛上以3万美元出售Twitter数据库,称涉及540万用户,包括“从名人到公司”的用户数据。RestorePrivacy验证发现,受害者来自世界各地,这些被泄露的数据包括与Twitter账号绑定的电子邮件、电话号码、公开的个人资料信息,并可以与真实的人相匹配。 这已经不是Twitter第一次发生大规模数据泄露事件,2019年1月,Twitter披露了其修复的一个安全漏洞,而在此前四年多的时间里,该漏洞使得许多用户的私人推文被泄露。而此次数据泄露也是漏洞引起,并且经过长达六个月的时间才修复完成。 难怪马斯克一上任就裁掉了Twitter整个安全部门,作为全球大型社交平台之一,其安全能力属实无法令人满意。 数据泄露的远比想象中的多 但更糟糕的消息还在后面,免费共享540 万条用户数据的发布者称,这仅仅是Twitter数据泄露的一部分,他们还窃取了更多的用户数据。据悉这些泄露的Twitter数据已经达到千万级,其中包括使用相同 API 错误收集的个人电话号码,以及公共信息,包括已验证状态、帐户名、Twitter ID、个人简介和屏幕名称。 Loder 最早在Twitter上发布了上述更大数据泄露的消息,发帖后不久他就被停职。Loder随后在Mastodon上发布了这个更大规模数据泄露的编辑样本 。 Loder分享更大漏洞的消息 有安全专家通过这个未知的数据库的样本文件,对其中信息的真实性进行了核实。结果发现,包括电话号码在内的信息全部都真实有效,这也从侧面证明了此次千万级数据泄露是真实存在的。 此外,这些用于核实的信息都没有出现在 8 月份出售的原始数据中,这说明 Twitter 的数据泄露比之前披露的要严重得多,而且攻击者之间流传着大量的用户数据。 安全专家Pompompurin表示,目前不知道是谁创建了这个新发现的数据转储,表明其他人正在利用这个 API 漏洞。这个新发现的数据转储由许多按国家和地区代码分解的文件组成,包括欧洲、以色列和美国。 有消息称这个泄露的数据库存储的信息量有可能达到2千万条,其泄漏量之大令人震惊,因此Twitter用户应提高警惕,仔细检查任何声称来自Twitter的电子邮件,避免陷入网络钓鱼攻击的陷进之中。 ...

    2022-11-30 654
  • 推特遭黑客入侵!多位政要名人账号发布诈骗推文

    推特出事了!新闻称美国总统候选人拜登、电视真人秀明星卡戴珊、美国前总统奥巴马、亿万富翁马斯克和说唱歌手侃爷,布隆伯格、贝佐斯、巴菲特、苹果官方账号,以色列总理内塔尼亚胡等一系列知名人士的推特账号被入侵,发布不实消息。 (布隆伯格推特) (马斯克推特) (苹果官方推特) (比尔·盖茨推特)  (美国前总统奥巴马推特) 经过我详细了解了一下事件,发现被入侵者在推特发布的都是关于比特币的诈骗推文,大概意思是:“所有发送到以下地址的比特币将被双倍发送!如果你寄1000美元,我就寄回2000美元。只做30分钟。”文字下边附带网站链接。   入侵这么多政要、知名人士的推特,大摇大摆的留下诈骗推文,不得不佩服黑客的所作所为。这一消息曝光之后也是在微博、百度搜索里引发众多网友议论。 在微博动态下边也是不少“神评论”: 事情发生之后,Twitter找到事情起因,公司检测到了一次协同式社交工程攻击,发动者成功锁定了一些具有访问内部系统和工具权限的Twitter员工。黑客利用这些访问权限控制了许多知名账号和密码,之后便使用其账号发布关于比特币的动态。   与此同时,推特先把所有的官方认证账号都禁止发推文,未认证的推特账号还可以发文。随后官网发两条推文称:“在我们检查和处理这一状况时,你可能无法发推,也无法重设你的密码。”“我们仍然在继续限制发推和重设密码、以及一些其他的账户功能,感谢你的耐心。”  (推特官方原文) 推特官网的这一操作,我心存一丝忧虑,禁止账号发文不能从根本解决问题,禁止推文无视了美国政要和知名人每天的推文需要,而且未经过认证的账号还可能会流出不实的比特币推文。不过先禁止不实言论,再弥补推特网站类似的漏洞,亡羊补牢、为时不晚,杜绝此类事件再次发生也算是吃一堑长一智。 ...

    2020-07-16 891

联系我们

在线咨询:点击这里给我发消息

QQ交流群:KirinBlog

工作日:8:00-23:00,节假日休息

扫码关注