叽叽喳喳刚刚确认存在重大安全漏洞。该社交网络在 2022 年 8 月 5 日星期五在其网站上发布的新闻稿中透露,零日漏洞被黑客利用。这是一个在被利用之前尚未被开发人员发现的缺陷。
由于这个缺陷,有可能将匿名 Twitter 帐户链接到个人。正如推特所解释的那样,这已经足够了«输入电话号码或电子邮件地址 »发现«该信息是否链接到现有的 Twitter 帐户,如果是,是哪个特定帐户”。
在 Twitter 不知情的情况下被利用的缺陷
违规行为是去年一月发现的作为 Twitter 错误赏金计划的一部分。该社交网络称,该故障是由 2021 年 6 月部署的更新引起的。该缺陷被发现时,没有证据表明犯罪分子利用了该漏洞。 Twitter 立即修复了该漏洞,希望能够领先于网络犯罪分子。
不幸的是,一名黑客显然在补丁部署之前就利用了 Twitter 漏洞。正如我们在 7 月份向您解释的那样,盗版者出售了包含以下内容的文件:来自 540 万个账户的数据在违规论坛上。个人a以 30,000 美元的价格出售数据。哔哔电脑采访这名自称“网络恶魔”的黑客声称利用该漏洞窃取了数据。
“在审查了可供出售的数据样本后,我们确认恶意行为者在问题解决之前就利用了该问题”Twitter 在其网站的新闻稿中承认。
Twitter警告受影响的帐户
推特明确指出没有密码被盗由海盗。然而,在被黑的信息中,我们找到了地理位置、帐户的 URL、链接的电话号码、电子邮件地址和个人资料照片。
在新闻稿中,Twitter 承诺通知所有受泄密影响的互联网用户。但不幸的是,美国平台并不«能够确认所有可能受到影响的账户”。该社交网络指定其重点关注可能代表政府或其他实体目标的个人。
社交网络尤其担心独裁政府依靠这些数据来清除该政权的反对者。许多政治异见人士使用 Twitter 进行交流。 CyberScoop 的同事报告说,伊朗的情况尤其如此。
“如果伊朗政权能够获得这些数据的副本,然后找到其目标,那么用户是否立即删除帐户并不重要,因为他们将通过手机号码或电子邮件来识别。最终,对于伊朗的潜在受害者来说,这是一场失败的游戏,因为我们永远不会知道他们的存在。他们将被逮捕甚至被判处死刑””,伊朗 IT 安全专家 Amin Sabeti 解释道。
在这种情况下,Twitter 建议希望保持匿名的个人«不要添加电话号码或电子邮件地址 »在他们自己的帐户上。
来源 : 叽叽喳喳
