(背景圖片)Jon Tyson on unsplash
本周資安網站BleepingComputer報導,有人在駭客論壇聲稱,已利用推特今年被揭露的一項API漏洞,取得4億筆推特(Twitter)用戶個資,並要求推特公司買回以免遭歐盟處罰。
報導指出,名為Ryushi的人士在Breached駭客論壇貼出公告,聲稱手中握有4億筆推特資料,包括電子郵件、姓名、電話號碼等,開價20萬美元公開出售。這名駭客並直接向推特及執行長馬斯克(Elon Musk)放話指出,先前的 540萬筆資料外洩已引來歐盟調查,可以想見4億筆個資的後果。為了免於如同臉書5.33億筆被資料抓取(web scraping)的鉅額罰款命運,他們最好的選擇是獨家買下這批資料。
這名駭客還列出了30多位名人、政治人物、知名公司如美國前總統川普、加拿大企業家Kevin O’Leary、電視名人Piers Morgan及創投家Mark Cuba的資料,包括電話、電子郵件、粉絲數、帳號建立日期等。BleepingComputer報導,這名駭客之後也公佈了約1,000名推特用戶的個人檔案。
本案是推特資料外洩案的最新進展。今年7月先是有研究人員發現一名人士在地下網站兜售540萬筆推特用戶個資,11月另一名研究人員發現1,700萬筆用戶資料,懷疑事情不單純,可能外洩幅度比之前所知更大,或是有另一次外洩。但推特本月聲稱兩次的發現,資料其實來自同一批,並沒有另一次外洩。
駭客向Bleeping Computer證實,他們是在去年利用推特平臺漏洞,蒐集到推特用戶電話、電子郵件。
這項漏洞出在Twitter API上,允許某人餵大量電話號碼及電子郵件到API後接獲用戶ID。攻擊者之後即可利用ID和IP位址從推特網站取得公開資料,並建立該用戶的個人資料。Ryushi說他是從去年外洩540萬筆個資的駭客獲得對推特流程的了解,用的也是相同手法。然後將取得的用戶ID以另一個API抓出用戶名稱和其他資料。這漏洞類似去年臉書遭人從網頁抓取公開資料,導致5.33億筆用戶個資外流。
該漏洞今年8月才因資料外洩案曝光,當時推特說漏洞已在今年1月修補。最新事件顯示,在修補之前,已有多組人馬相繼濫用了Twitter API漏洞。
本案可能使推特面臨更大的行政壓力。臉書才因去年5.33億的資料抓取外洩遭到歐盟及愛爾蘭當局的調查。推特目前暫未對此回應。
熱門新聞
2024-12-22
2024-12-20
2024-12-22
2024-11-29
2024-11-15
2024-11-20