据信,先前数百万个推特
推特上周证实了这一漏洞,并在博客文章中指出,该漏洞涉及之前透过Hacker One所发现的安全瑕疵。该漏洞当时在收到报告后不久便于1月得到修补,并向发现该漏洞的白帽黑客支付了5,000美元的赏金。推特指出,当时没有证据表明有人利用了该漏洞。
该公司表示,他将直接联系所有已证实受到此漏洞影响的用户。推特目前尚不确定非法的销售清单中的540万个条目中有多少个是真实的,因为卖家仅制作了一份可以被公开取得的样本。
资料是如何被盗取的,而推特怎么会不知道?
白帽黑客「Zhirinovsky」在1月份透过在Hacker One中发布的一份报告详细描述了这一漏洞。根据该报告,黑客可以使用用户的电子邮件或电话号码来获取他们的推特 ID,然后可以使用一些已知的方法来获取该帐户背后的私人信息。
如果推特一月就知道他存在大型的安全瑕疵,他怎么会不知道资料已遭窃取?
推特过去遭受黑客攻击的时候能较快速地做出回应,像是2020年数位名人的帐号被黑客攻击时。跟之前那些攻击不一样的是,那些攻击会立即被注意到是因为被黑客攻击的都是高调的帐号,而这次并没有明显的迹象显示有数据被盗取。
在其他的大型黑客攻击中,像是近期中国警察资料库被盗取的案件,这都只有在遭盗取的资料被放在线上使用时,盗取资料事件才会被发现。
数据从推特的漏洞中被盗取是由Restore Privacy七月份的一个臭名昭彰的黑客论坛中所发现。Restore Privacy和BleepingComputer都联络了数据位于样本中的受影响用户,并得到证实表示该资讯是真实的。
这会如何影响推特的用户隐私?
即使推特可以完全检视所有被盗取的数据,推特也不太可能会揭露数百万个项目中有多少个是真实的。无论如何,由于不只一个消息都证实了样本数据的真实性,很有可能有许多用户都会受到影响。
除了常规用户的身分可能会受到波及外,许多推特的匿名用户也可能会遭到资料外泄。这个漏洞允许黑客绕过推特的隐私权设定,这意味着所有帐户的用户身分都是场公平的游戏。
除非这个数据库被推特或当局修复,或在网上泄露,否则不太可能知道漏洞的真实严重程度,从而使该平台许多用户的隐私受到质疑。