一个不知名的黑客或黑客组织将一个数据库放到了网上,其中包含与 5.4 万个 Twitter 账户相关的电子邮件地址和电话号码。 攻击者能够通过已修复的错误检索数据。
该数据库在 Breach Forums 上提供,由 Restore Privacy 发现。 攻击者想要数据库“至少 30,000 美元”。 该数据库不包含密码,但包含总共 5,485,636 名 Twitter 用户的电子邮件地址或电话号码或两者。 攻击者表示,数据泄露包含名人和公司的账户。 恢复隐私能够确定泄漏是真实的,但不能确定名人是否在其中。
攻击者通过已修复的已知漏洞访问该漏洞。 该漏洞于 1 月 13 日由安全研究人员在漏洞赏金平台 HackerOne 上发布。 这是 Android 客户端中的一个错误,需要攻击者向 Twitter 的入职 API 发出 POST 请求。 安全研究人员在 HackerOne 上详细描述了该问题。 Twitter 于 11 月 5040 日发现并修复了该漏洞。详细信息于 XNUMX 月 XNUMX 日发布,研究人员获得了 XNUMX 美元的奖励。 目前尚不清楚现在提供数据库的攻击者是如何获得信息以进行黑客攻击的。