暗网免费泄露 2亿 Twitter 邮件

黑客利用 Twitter API 漏洞,大量爬取用户数据并在暗网发布
暗网推特数据泄露

据 Privacy Affairs 调查显示,有黑客在1月4日把2亿个 Twitter 用户的公开账号信息(如账号名、昵称、创建时间和粉丝数)等63GB数据通过数据抓取方式收集后上传到了一个地下论坛上。该公司还发现,数据库中还有用户的电子邮件地址,而这些并非公开信息。

Privacy Affairs 的创始人 Miklos Zoltan 在博客中写道:“黑客可以利用这些电子邮件地址来识别或定位用户的真实身份,并进行社交工程攻击。电子邮件地址还可能被用来发送垃圾邮件、诈骗邮件或个人威胁。”

目前尚不清楚黑客是如何获取电子邮件地址的,但 Zoltan 认为,“很可能是利用了 Twitter 的 API 漏洞。”事实上,之前就有过一次 Twitter 数据泄露事件,就是因为黑客滥用了 Twitter API ,把电话号码和 Twitter 昵称联系起来。而且,在8月份还发现了很多移动应用泄露了 Twitter API 密钥。

其他研究人员也同意 Zoltan 的看法。

Synopsys 的首席科学家 Sammy Migues 在一封电子邮件中说:“API 安全是这里的重点。随着云原生应用开发的迅速发展,很多应用被拆分成了数百个或数千个 API 和微服务。但是,能够设计出安全的 API 和零信任架构的应用架构师的技能和数量却没有跟上这种速度。”

Twitter 对此事没有发表任何评论,也没有回复 Dark Reading 的询问。

黑客通过数据抓取窃取用户公开信息,威胁用户隐私和安全

Privacy Affairs 说,这批 2亿 Twitter 用户信息可能就是去年 12 月以 20 万美元在黑市上出售过的那批数据。当时有 4 亿个用户资料被泄露,但这次黑客把重复的资料去掉了,只留下了不重复的数据,而且任何人都可以免费下载。

这些数据中除了包含与 Twitter 昵称关联的电子邮件之外,还有一些公开的信息,这些信息可以被用来对用户进行精准的攻击。

比如,黑客可以把这些数据和用户在其他平台上分享的数据进行对比,从而得到一个用户的全面画像——他们的兴趣、爱好、社交圈子,甚至是企业活动(比如,有些企业网站上会用 Twitter 昵称代替联系方式——这样黑客就可以用这些昵称来追踪用户在网上的活动,不仅仅是在 Twitter 上)。

由于这些数据被收集到一个大型的数据库中,黑客可以利用这些数据来自动化他们的攻击。这对社交媒体用户和平台都是一个严重的问题——Facebook 和 LinkedIn 都曾因为数据抓取事件而受到罚款和指责。更别提 Facebook 的剑桥分析丑闻了,在那里,黑客利用数据抓取技术获取了数亿用户的公开资料和帖子,并用它们来向用户发送政治信息。

要想保护自己免受网络攻击(或影响力攻击),有一些常规的做法,Synopsys 的 Jamie Boote 给出了一些建议。

他通过电子邮件说:“和往常一样,你的电子邮件地址已经被黑客拿到了。为了保证安全,你应该修改你的 Twitter 密码,并且不要在其他网站上使用相同的密码。而且从现在开始,最好忽略任何看起来是来自 Twitter 的电子邮件,以免上当受骗。”

另外,我们也应该注意自己在社交媒体上公开分享了什么信息,以免让黑客轻易地建立我们的个人档案。

Privacy Affairs 的 Zoltan 还提醒我们:“虽然现在不太常见,但使用‘一次性’电子邮件地址或为每个在线账户设置不同的电子邮件地址,并把邮件转发到一个主邮箱也是一个好办法。这样,即使你的电子邮件地址和 Twitter 或其他账户相关联并被泄露了,也不会暴露你的真实身份或其他在线服务。”

推荐阅读:

暗网广告声称2万美元可买到Telegram服务器的内部访问权

追查暗网中的内部威胁

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20