資安媒體 Restore Privacy 日前發布新聞,指出資安專家發現有駭侵者在駭侵相關論壇上出售 540 萬 Twiiter 用戶的個資;該批個資係透過 Twitter Android App 中的一個漏洞取得。
據 Restore Privavy 指出,駭侵者很可能是利用 Twitter Android App 中的一個漏洞來取得這些個資。該漏洞可讓任何人在不需任何驗證的情形下,只要提供電話號碼或 Email 信箱,即可取得用戶的 Twitter ID,這相當於取得該用戶的登入名稱。
有了這個 Twitter ID 後,駭侵者就可以取得用戶在其個人檔案中輸入的各種資訊,並且利用這些資訊,進一步取得更詳細的個資,並在駭侵相關論壇上出售這批資訊,要價 3 萬美元。
Twitter 官方尚未證實這起資安事件,但資安媒體根據部分流出的資訊進行驗證,發現這些個資屬實的可能性相當高。
資安專家指出,駭侵者除了可以出售這批個資牟利之外,還可以進一步利用這些個資,發動進一步的攻擊,例如釣魚攻擊等等。
雖然該漏洞已在今(2022)年 1 月 13 日就獲得修復,但資安媒體與試圖出售資料的駭侵者聯絡時,駭侵者表示資料是於去(2021)年開始收集的。
由於這類可歸因於社群平台或服務商的漏洞,用戶比較難以防範,因此用戶應避免在社群平台上公開個人或服務機構相關的機敏資訊(如真實姓名、 Email 地址、電話號碼、重要證件編號、居住地址、所在地等),以避免駭侵者以類似手法竊得個資。
- 參考連結
Verified Twitter Vulnerability Exposes Data from 5.4 Million Accounts
https://restoreprivacy.com/twitter-vulnerability-exposes-5-million-accounts/
https://www.bleepingcomputer.com/news/security/hacker-selling-twitter-account-data-of-54-million-users-for-30k/
留言列表