• 發布單位:TWCERT/CC
• 更新日期:2022-08-11
• 點閱次數:6664

知名社群平台 Twitter 日前證實近日發生一起資料外洩事件，約有 540 萬用戶資料，遭駭侵者利用一個現已修補完成的 0-day 漏洞竊走。

該入侵事件發生於去（2021）年 12 月；資安專業媒體 BleepingComputer 當時報導有駭侵者在駭侵相關論壇上張貼文章，意圖出售自 Twitter 竊得的 5,485,636 筆用戶資料。

Twitter 這個 0-day 資安漏洞，使任何人都可以利用用戶登錄在 Twitter 個人檔案中的各種資料，包括電話號碼、Email 帳號等等當做查詢索引，查出用戶的帳號 ID 後，繼而可以取得更多用戶資訊，例如在 Twitter 中使用的顯示名稱、登入名稱、所在地、追蹤人數、頭像圖片網址等各種資訊。

據 BleepingComputer 當時的報導指出，駭侵者打算將這批 540 萬名用戶的資訊，以 30,000 美元的價格出售，而至少有兩組駭侵團體在經過議價後，買走這些資訊。

Twitter 直到 8 月 5 日證實確實發生該 0-day 漏洞遭駭侵者用於竊取用戶個資的事件；在其聲明中表示該公司於 2022 年 1 月在一場漏洞發現懸賞活動中，得知該漏洞可用於竊取用戶個資的報告，於 6 月修補好這個漏洞。

Twitter 指出，這次資料外洩事件中，並沒有任何用戶的登入密碼遭到外洩，但該公司也無法確切計算出到底有多少名用戶的個資遭到竊取。

建議各社群平台用戶應儘可能不要在個人檔案中填寫過多可供鎖定個人身分的資訊，並且應啟用二階段登入驗證，以避免社群帳號或其上的個資遭到攻擊。