Twitter承认零日漏洞导致540万用户数据被窃 目前已修复

​Twitter 承认近期曝光的认零日漏用户数据泄露事件，是洞导黑客利用一个零日漏洞来实现的，目前该漏洞已经修复。致万该漏洞存在于将电子邮件地址和电话号码绑定用户帐户的用户已修这项功能中，导致黑客获取了一份包含 540 万用户账户的数据列表文件。免费模板

上个月 BleepingComputer 获悉 ，被窃有黑客表示他们可以利用社交媒体网站上的目前一个漏洞，创建一个包含 540 万个 Twitter 帐户配置文件的认零日漏列表。

此漏洞允许任何人提交电子邮件地址或电话号码，洞导验证它是致万否与 Twitter 帐户关联，并检索关联的源码下载用户已修帐户 ID 。然后，数据威胁参与者使用此 ID 来抓取该帐户的被窃公共信息 
。

这使得攻击者能够在 2021 年 12 月创建 540 万 Twitter 用户的目前个人资料 ，包括经过验证的认零日漏电话号码或电子邮件地址 ，并抓取公共信息，模板下载例如关注者数量、屏幕名称、登录名、位置、个人资料图片 URL 和其他信息。

BleepingComputer 后来了解到，两个不同的威胁参与者以低于原始售价的价格购买了这些数据 ，源码库并且这些数据可能会在未来免费发布。

今天，Twitter 已确认威胁行为者在 12 月使用的漏洞与他们在 2022 年 1 月报告并修复的漏洞相同，这是他们作为 HackerOne 漏洞赏金计划的一部分。

Twitter 在今天的高防服务器安全公告中披露
：“在 2022 年 1 月，我们通过我们的漏洞赏金计划收到了一份漏洞报告，该漏洞允许某人识别与帐户关联的电子邮件或电话号码，或者，如果他们知道某人的电子邮件或电话号码，他们可以识别他们的亿华云 Twitter 帐户 ，如果存在的话”。