駭客入侵推特540萬用戶竊取個資 一口價3萬美元
鉅亨網編譯許家華
今年初發現的推特 (TWTR-US) 安全漏洞,已被駭客用來竊取 540 萬名用戶的帳戶詳細資訊,且駭客正打包出售整套數據。
與 2021 年 8 月受駭客影響的 4.78 億 T-Mobile 客戶相比,推特此回遭駭客攻擊的範圍相較小,甚至也比同月受駭客攻擊的 AT&T 7000 萬用戶少了許多。
然而,根據外媒 Restore Privacy 報導,現在遭駭客出售的數據源自今年 1 月用戶回報的漏洞,推特承認這確實是資安問題,甚至向回報該漏洞的用戶「zhirinovskiy」支付 5040 美元獎金。
該報導指出,「正如 HackerOne 用戶 zhirinovskiy 最初 1 月時報告中所描述那樣,駭客正在出售聲稱自該漏洞取得的 540 萬用戶的數據,且駭客發的那篇貼文現在仍存在。」
「該賣家在駭客論壇上使用的名稱是『魔鬼』,並聲稱他手上的數據包括名人、企業、隨機路人、一般服務組織。」
Taylor 說:「我們連繫了該數據庫的賣家以取得更多消息,該賣家要求我們至少支付 3 萬美元才能取得該數據庫,對方稱『因為推特無能,才讓他取得該資訊』。」
賣家已在駭客論壇「突破論壇」上發布一條數據樣本,似乎顯示推特用戶個檔、電話和用來登入的電子郵件地址。 據 Restore Privacy 稱,該論壇的所有者已驗證數據的真實性。
但該數據似乎不含登入密碼,但因為有電子郵件地址,可以搭配推特的「忘記密碼」功能使用,倘若企圖登入者也掌握該用戶電郵密碼,恐因此遭外人登入推特。
然而,更大的問題可能不是遭外人登入推特 (畢竟沒有密碼),而是該數據可能出售給廣告商利用。推特尚未發表評論。