近日，有人在知名黑客论坛上发布了一个数据集，一个包含超过2亿Twitter用户数据（用户的个人资料）的文件在一个流行的黑客论坛上发布，价格约为2美元即可下载。目前，已经证实了泄露中列出的诸多用户数据的真实性。

自2022年7月22日以来，攻击者一直在各种在线黑客论坛和网络犯罪市场上出售和流转大量的Twitter用户资料，其中包括私人（电话号码和电子邮件地址）和公共数据。

这些数据集是在2021年利用Twitter的API漏洞创建的，该漏洞允许用户输入电子邮件地址和电话号码，以确认它们是否与Twitter ID相关。

然后，攻击者利用另一个API抓取该ID的公共Twitter数据，并将这些公共数据与私人电子邮件地址/电话号码相结合，创建完整的Twitter用户档案。

虽然Twitter在2022年1月修复了这个漏洞，但最近多个攻击者开始免费泄露他们一年前收集的数据集。

第一个540万用户的数据集在7月以3万美元的价格出售，并最终在2022年11月27日免费发布。另一个据称包含1700万用户数据的数据集也在11月私下流转。

最近，一个攻击者开始出售一个数据集，他们声称该数据集包含4亿份Twitter资料。

今天，一名攻击者在Breached黑客论坛上发布了一个由2亿条Twitter用户资料组成的数据集，仅需要该论坛的8个货币价值约2美元，即可下载。

据称，这个数据集与11月流传的4亿个数据集相同，但经过清理，去掉重复的数据，总数减少到约2亿条。这些数据是以RAR档案的形式发布的，包括六个文本文件，总大小为59GB的数据。

文件中的每一行都代表一个Twitter用户和他们的数据，其中包括电子邮件地址、姓名、网名、关注人数和账户创建日期，如下图所示。

目前已经能够确认许多列出的Twitter个人资料是正确的，但整个数据集并没有得到确认。此外，该数据集并非完整，因为有许多用户没有被发现在此次泄漏中。判断个人信息是否在这个数据集中，高度取决于你的电子邮件地址是否在以前的数据泄露中被曝光。

对于泄露的电子邮件地址，不法分子可能会使用其对受影响用户进行网络钓鱼攻击。而对于匿名发布推文的Twitter用户，在发生此数据泄露事件之后，其现实中的真实身份也有可能会因此暴露。

由于影响范围过广，所有Twitter用户都应该留意针对性的网络钓鱼诈骗，并尽量避免点击未知链接或下载未知文件。若Twitter用户电子邮件地址已暴露，则应审慎考虑是否需要创建并使用新的电子邮件地址。若是在其他平台使用了与Twitter帐户相同的密码，也应立即更改。另外，为保护自身信息与财产安全，在平时用户也应定期更改其关键账户的密码，并尽量使用复杂的密码。

BleepingComputer工作人员第一时间就这一泄露的数据联系了Twitter，但目前并没有得到回复。

参考来源：

https://www.bleepingcomputer.com/news/security/200-million-twitter-users-email-addresses-allegedly-leaked-online/

https://mp.weixin.qq.com/s/DU7dmfuHjTM3SXuBRA9-4g

https://mp.weixin.qq.com/s/33UhUmGcJnYi09XSlFl78A

关注公众号【白帽子程序员】

回复“电子书”获取网络安全电子书资料

回复“视频教程”获取400网络渗透教学、编程视频教程

回复CTF视频教程”获取400网络渗透教学、编程视频教程

回复python视频教程”获取python学习教程

回复hw”获取护网资料

回复内网靶场”获取内网靶场

回复渗透镜像”

学习资料截图