• 發布單位:TWCERT/CC
• 更新日期:2023-01-05
• 點閱次數:112

資安媒體 BleepingComuter 近日發現一批多達 2 億名 Twitter 用戶 Email 地址的資料，在某一熱門駭侵論壇上遭到賤價出售；放上這批資料的駭侵者，開價僅要求 8 個論壇點數，要價約 2 美元。

據 BleepingComputer 的驗證，這批流出資料中的 Email 地址正確性很高。

BleepingComputer 在報導中指出，自 2022 年 6 月 22 起，在多個駭侵論壇與暗網就出現有人兜售大量竊自 Twitter 的使用者資料，包括用戶的電話號碼與 Email 地址。這批資料係為駭侵者於 2021 年時利用 Twitter API 的漏洞來竊得。

雖然 Twitter 在 2022 年 1 月時修復了該 API 的漏洞，但已有許多駭侵者在駭侵論壇或暗網中免費釋出先前竊得的用戶個資。

最近則有駭侵者開始販賣一批約有 4 億名 Twitter 用戶的個資，而今天這批 2 億名用戶的 Email 地址，極可能是整理自前述的 4 億名用戶個資，將重複資料去除後的結果，一共內含 221,608,729 名 Twitter 用戶的 Email 地址。

BleepingComputer 取得這批資料後，得到一個內含 6 個文字檔，解壓縮後大小共 59 GB 的 RAR 壓縮檔；文字檔的內容包括各 Twitter 用戶的姓名、顯示名稱、Email 地址、追蹤人數、帳號註冊日期等欄位。

雖然這批外流的資料中，較機敏的欄位僅含有用戶的 Email 地址，不含其他可識別身分的個資，但駭侵者仍可藉由這些 Email 地址來發動釣魚攻擊；Twitter 用戶最近應提高警覺，勿點選可疑郵件中的連結或開啟附檔。