官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近日,一个包含超过2亿Twitter用户数据的文件在一个流行的黑客论坛上发布,价格约为2美元。 目前,已经证实了泄露中列出的诸多用户数据的有效性。
自2022年7月22日以来,攻击者一直在各种在线黑客论坛和网络犯罪市场上出售和流转大量的Twitter用户资料,其中包括私人(电话号码和电子邮件地址)和公共数据。
这些数据集是在2021年利用Twitter的API漏洞创建的,该漏洞允许用户输入电子邮件地址和电话号码,以确认它们是否与Twitter ID相关。
然后,攻击者利用另一个API抓取该ID的公共Twitter数据,并将这些公共数据与私人电子邮件地址/电话号码相结合,创建完整的Twitter用户档案。
虽然Twitter在2022年1月修复了这个漏洞,但最近多个攻击者开始免费泄露他们一年前收集的数据集。
第一个540万用户的数据集在7月以3万美元的价格出售,并最终在2022年11月27日免费发布。另一个据称包含1700万用户数据的数据集也在11月私下流转。
最近,一个威胁行为者开始出售一个数据集,他们声称该数据集包含4亿份Twitter资料。
2亿Twitter用户资料被公开
今天,一名攻击者在Breached黑客论坛上发布了一个由2亿条Twitter用户资料组成的数据集,仅需要该论坛的8个货币价值约2美元,即可下载。
据称,这个数据集与11月流传的4亿个数据集相同,但经过清理,去掉重复的数据,总数减少到约2亿条。这些数据是以RAR档案的形式发布的,包括六个文本文件,总大小为59GB的数据。
文件中的每一行都代表一个Twitter用户和他们的数据,其中包括电子邮件地址、姓名、网名、关注人数和账户创建日期,如下图所示。
目前已经能够确认许多列出的Twitter个人资料是正确的,但整个数据集并没有得到确认。此外,该数据集并非完整,因为有许多用户没有被发现在此次泄漏中。判断个人信息是否在这个数据集中,高度取决于你的电子邮件地址是否在以前的数据泄露中被曝光。
BleepingComputer工作人员第一时间就这一泄露的数据联系了Twitter,但目前并没有得到回复。
参考来源:https://www.bleepingcomputer.com/news/security/200-million-twitter-users-email-addresses-allegedly-leaked-online/