骇客入侵推特540万用户窃取个资 一口价3万美元
-
骇客入侵推特540万用户窃取个资 一口价3万美元 (图片:AFP)(photo:CnYes)今年初发现的推特 (TWTR-US) 安全漏洞,已被骇客用来窃取 540 万名用户的帐户详细资讯,且骇客正打包出售整套数据。
与 2021 年 8 月受骇客影响的 4.78 亿 T-Mobile 客户相比,推特此回遭骇客攻击的范围相较小,甚至也比同月受骇客攻击的 AT&T 7000 万用户少了许多。
然而,根据外媒 Restore Privacy 报导,现在遭骇客出售的数据源自今年 1 月用户回报的漏洞,推特承认这确实是资安问题,甚至向回报该漏洞的用户「zhirinovskiy」支付 5040 美元奖金。
该报导指出,「正如 HackerOne 用户 zhirinovskiy 最初 1 月时报告中所描述那样,骇客正在出售声称自该漏洞取得的 540 万用户的数据,且骇客发的那篇贴文现在仍存在。」
「该卖家在骇客论坛上使用的名称是『魔鬼』,并声称他手上的数据包括名人、企业、随机路人、一般服务组织。」
Taylor 说:「我们连系了该数据库的卖家以取得更多消息,该卖家要求我们至少支付 3 万美元才能取得该数据库,对方称『因为推特无能,才让他取得该资讯』。」
卖家在骇客论坛上发布的数据样本(photo:CnYes)卖家已在骇客论坛「突破论坛」上发布一条数据样本,似乎显示推特用户个档、电话和用来登入的电子邮件地址。 据 Restore Privacy 称,该论坛的所有者已验证数据的真实性。
但该数据似乎不含登入密码,但因为有电子邮件地址,可以搭配推特的「忘记密码」功能使用,倘若企图登入者也掌握该用户电邮密码,恐因此遭外人登入推特。
然而,更大的问题可能不是遭外人登入推特 (毕竟没有密码),而是该数据可能出售给广告商利用。推特尚未发表评论。
