admin
最近有很多读者朋友对美区id共享有疑问。由部分网友整理出相关内容希望能够解答你的疑惑,关于美区id共享小火箭,本站也已经为你找到了问题的答案,希望能帮助到你。
安全研究人员还披露了另一个可能更大规模的数据转储,其中包含数百万条 Twitter 记录,表明攻击者滥用此漏洞的范围可能更广。这些数据包括被抓取的公共信息以及不打算公开的私人电话号码和电子邮件地址。
去年 7 月,一名攻击者开始 以 3万美元的价格在黑客论坛出售超过 540 万 Twitter 用户的私人信息。
虽然大部分数据由公共信息组成,例如 Twitter ID、姓名、登录名、位置和验证状态,但也包括私人信息,例如电话号码和电子邮件地址。
出售被抓取的 Twitter 数据的论坛帖子,来源:BleepingComputer
这些数据是在 2021 年 12 月使用HackerOne 错误赏金计划中披露的 Twitter API 漏洞收集的,该漏洞允许人们将电话号码和电子邮件地址提交到 API 中以检索相关的 Twitter ID。
使用此 ID,攻击者随后可以抓取有关该帐户的公共信息,以创建包含私人和公共信息的用户记录,如下所示。
泄露的 Twitter 用户记录之一的编辑示例,来源:BleepingComputer
多个攻击者正在利用该漏洞从 Twitter 窃取私人信息。推特证实,他们在 2022 年 1 月修复了一个 API 错误,导致数据泄露。
Breached 黑客论坛的所有者 Pompompurin 本周末告诉 BleepingComputer,他们负责利用该漏洞并在另一个被称为“魔鬼”的攻击者与他们分享漏洞后抓取了大量 Twitter 用户数据。
除了出售的 540 万条记录外,还使用不同的 API 收集了另外 140 万条暂停用户的 Twitter 个人资料,使包含私人信息的 Twitter 个人资料总数达到近 700 万条。
Pompompurin 表示,这第二个数据转储并没有出售,只是在少数人之间私下共享。540 万条 Twitter 记录现已在黑客论坛上免费共享。
研究人员证实,这些记录包含私人电子邮件地址或电话号码,以及公开的抓取数据,包括帐户的 Twitter ID、名称、屏幕名称、已验证状态、位置、URL、描述、关注者数量、帐户创建日期、好友数量、收藏夹数量、状态计数和个人资料图像 URL。
尽管攻击者免费发布了 540 万条记录令人担忧,但据称使用同一漏洞创建了更大的数据转储。该数据转储可能包含数千万条 Twitter 记录,其中包括使用相同 API 错误收集的个人电话号码,以及公共信息,包括已验证状态、帐户名、Twitter ID、个人简介和屏幕名称。
安全专家分享了 Mastodon 上更大漏洞的消息,来源:BleepingComputer
BleepingComputer 获得了这个以前未知的 Twitter 数据转储的样本文件,其中包含法国用户1,377,132 个电话号码。媒体验证这些额外泄露的数据是真实的。
这些电话号码都没有出现在 8 月份出售的原始数据中,这说明 Twitter 的数据泄露比之前披露的要严重得多,而且攻击者之间流传着大量用户数据。
Pompompurin 还向 BleepingComputer 证实,他们不知道是谁创建了这个新发现的数据转储,表明其他人正在利用这个 API 漏洞。这个新发现的数据转储由许多按国家和地区代码分解的文件组成,包括欧洲、以色列和美国。由于此数据可能被用于有针对性的网络钓鱼攻击以获取登录凭据,因此必须仔细检查任何声称来自 Twitter 的电子邮件。
