• 2025-11-13 19:26:37

Twitter数据泄露事件的新进展

关键要点

今年早些时候，Twitter的一次数据泄露事件影响超过五百万用户的情况比最初报告的要严重得多。八月份，Twitter确认在一月修复的API漏洞导致了数据外泄，但公司表示没有证据表明这一漏洞被利用。然而，现在在一个黑客论坛上，超过540万份被盗用户信息已被免费分享。此外，一名安全研究人员警告称，利用同一漏洞，可能还有更大量的数据即将泄露。

这一API漏洞最早由HackerOne通过Twitter的漏洞奖励计划在一月份报告，揭示了用户若拥有他人电话号码或电子邮件地址，就能识别出其账户，并反之亦然。七月，一名用户名为“devil”的威胁演员开始以3万美元的价格出售该数据集。而Pompompurin确认，目前在论坛上可获取的免费数据集正是“devil”出售的同一份。

Breached黑客论坛的负责人Pompompurin在接受BleepingComputer采访时表示，他们负责利用这一漏洞，泄露了包含电话号码、电子邮件地址、账户ID、位置和验证状态在内的540万条记录的私人和公共信息。

虽然540万用户信息的泄露令人担忧，但安全研究人员Chad Loder警告称，数千万个其他Twitter账户的信息也可能遭到利用同一API漏洞的获取。

Loder第一次在Twitter上披露这一发现，并迅速被暂停，原因尚不明确。随后，他在Mastodon上发布了具体证据的细节。SC Media已经就此事联系了Twitter。

Loder在Twitter上写道：“我刚收到证据，显示有一场大规模Twitter数据泄露事件，影响到了数百万个Twitter账户，涉及欧盟和美国的用户。我联系了一些受影响账户，他们确认泄露的数据是准确的。此次泄露发生在2021年以后。”

Pompompurin告诉BleepingComputer，他们并不负责这次额外的数据泄露，这表明多个威胁参与者利用了这一API漏洞。

“API安全是相对较新的概念，尽管在这方面已有许多改进，但已有几年历史的API可能未能像新开发的API那样获得同样的安全考虑。”Deep Instinct的竞争情报分析师Jerrod Piker在一封电子邮件中对SC Media表示，“因此，在Twitter及其他公共平台上可能还有其他开放的API也存在相同类型的漏洞。我们很可能会在未来听到更多来自Twitter和其他公共服务的类似数据泄露事件。”

Next DLP的安全战略家Chris DenbighWhite对SC Media表示，安全社区应该警惕这次泄露，因为被泄露的信息可能被用于其他攻击。

“[这次泄露]为准备进行身份盗用或利用这些信息进行社会工程攻击或更广泛的个人信息分析的人提供了宝贵的机会，”DenbighWhite说。“对于在压制政权下进行政治活动的账户来说，这次泄露可能对账户持有者构成真正的威胁。”

从商业角度来看，Resilience Insurance的首席信息安全官Justin Shattuck对SC Media表示，Twitter的数据泄露事件为组织提供了一个重要的教训，使他们认识并理解公共平台上日益增加的安全风险。

“也许[组织]的领导已经接受了这些风险，但问题是，他们的广告商也愿意接受这些风险吗？”Shattuck表示。