Twitter 证实,7 月份在暗网上出售的包含 540 万个 Twitter 帐户的数据集实际上是真实的,此前一名黑客利用该公司系统中的漏洞窃取了这些数据。
这些信息已被用来建立与 Twitter 帐户相关的电子邮件地址和电话号码数据库,可以揭示假名(通常被称为“匿名”)Twitter 帐户的真实身份。
尽管没有泄露密码,但该平台建议用户在其用户帐户上安装双重身份验证。密码管理器安全专家表示,还应该利用它来增强您的帐户安全,并且在回复来自 Twitter 的电子邮件时应格外小心。
故事要追溯到 2021 年 6 月,当时 Twitter 的一次更新无意中导致了系统错误。
2022 年 1 月,一位名为“zhirinovskiy”的用户在漏洞赏金计划中向该公司通报了该漏洞。Twitter 为该报告向该用户支付了超过 5,000 美元的赏金。
该公司在一份声明中表示陈述周五,在了解该代码后,立即对其进行了修改,关闭了该漏洞。 该社交媒体平台表示,没有证据表明有人利用了它。
然而,2022 年 7 月,一名黑客以 3 万美元的费用出售 540 万 Twitter 用户的个人信息的消息成为各大媒体的头条新闻。
据与威胁行为者直接联系的 Bleeping Computer 称,这些数据是在 2021 年 12 月从 Twitter 系统中获取的。据称,属于名人和大公司的账户都在其中。
危险的漏洞
日里诺夫斯基表示,“该漏洞允许任何一方在未经任何身份验证的情况下通过提交电话号码/电子邮件来获取任何用户的 Twitter ID(这几乎等于获取帐户的用户名),即使用户已禁止此操作隐私设置。”
他解释说,该漏洞本身“是由于 Twitter 的 Android 客户端中使用的授权过程而存在的,特别是在检查 Twitter 帐户重复的过程中。”
利用该漏洞的方法是插入电子邮件地址和电话号码,然后查看是否存在相应的 Twitter ID。 随后,可以使用该信息和匹配的 Twitter ID 构建数据库。
在这一点上,它与方式有相似之处5.33 亿用户 去年,他们的 Facebook 数据被删除了。
Twitter 在周五发布的声明中表示,该公司“发布此更新是因为我们无法确认每个可能受到影响的帐户”,并强调了这可能给“拥有假名帐户的人带来的风险,这些帐户可能会成为攻击的目标”。国家或其他行为体。”
推特和匿名
推特关于假名账户的警告不应掉以轻心。
根据数据集的内容,任何使用“匿名”/假名 Twitter 帐户的人都可能会被曝光,因为他们生活在一个压迫政权下,否则他们的行为就会受到惩罚。
虽然 Twitter 等网站上的匿名帐户经常被用来谩骂公众人物而不会造成任何后果,但举报人和活动人士的重要生命线– 以及种族、宗教和性别少数群体的成员 – 在他们原本没有发言权的国家。
这在像 Twitter 这样的公共平台上尤其有用,因为参与的潜力非常高,产生切实影响的可能性也很大。
当前的新闻可能会让处于这种情况的人们不太愿意使用 Twitter 作为进一步推动其事业的工具,或者只是保护自己免受国家迫害 — — 这可能意味着人们会涌向不太安全或影响力较小的平台。
保护您的身份和帐户
即使您正在创建一个假名 Twitter 帐户,最近的数据曝光也证明了为什么您还应该使用与您的真实身份无关的电子邮件地址。
您也可以通过不添加电话号码来避免将电话号码附加到 Twitter 帐户,如果您需要外部方式来验证您的帐户以进行双因素身份验证,请改用身份验证器应用程序。
请极其谨慎地对待来自 Twitter 的电子邮件,尤其是现在有可用于网络钓鱼活动。 如果一封声称来自 Twitter 的电子邮件要求您输入帐户详细信息,请通过官方沟通渠道联系 Twitter,以验证该电子邮件是否合法。
如果您担心政府可能会因为您在网上的言论而迫害您,VPN是一项值得的投资。 VPN 将您的 IP 地址与互联网流量分离,因此如果您使用 VPN,将更难找到您的真实位置。
最后,记得使用密码管理器。 如果您的第一道防线很薄弱,那么设置所有这些安全预防措施就没有意义。
密码管理器会将您的所有密码安全地存储在一个位置 - 这意味着您将能够使它们完全唯一。 重要的是,您还可以根据自己的喜好制作它们,而不必担心自己是否会记住它们。
在数据泄露不断增加且数百家公司持有我们的个人信息的世界中,您至少可以采取立即可用的安全措施。
