在埃隆·马斯克(Elon Musk)动荡的执掌下,推特(Twitter)持续的混乱又添一桩戏剧性转折——发生了大规模数据泄露事件,涉及 2.35 亿用户的电子邮件地址、电话号码、姓名和其他凭证。这些信息现在对任何能在暗网上花费几美元的人来说都是可以获得的。
《华盛顿邮报》于周三晚间首次公开披露了这一消息,随后多家媒体进行了报道。此次重大的安全漏洞可追溯至 2021 年——诚然,这比马斯克于 2022 年 10 月以 440 亿美元收购这家社交媒体平台要早得多。据报道,这些文件通过一个名为“StayMad”的匿名账户发布在一个在线黑客论坛上,标题为“Breached”(已泄露),据称是通过一个之前的 API 漏洞收集的,该漏洞允许他们搜索与超过 2 亿个账户关联的用户信息。《Gizmodo》周四的报道称,该漏洞导致了一个“奇怪的‘查找’功能”,允许任何人输入电子邮件或电话号码来查询该凭证是否与活跃账户相关联。“StayMad”据称正以相当于 2 美元的加密货币价格出售这些数据。
[相关:前推特员工警告平台即将崩溃。]
该 API 漏洞于 2022 年 1 月首次被发现,这得益于推特(Twitter)当时实施的漏洞赏金计划,以鼓励众包安全监督。推特(Twitter)在 8 个月后公开宣布了该问题,但向用户保证该漏洞已被修复,并且“没有证据表明有人利用了该漏洞”。
虽然目前尚不清楚推特(Twitter)最新泄露事件的影响范围有多大,但专家警告《华邮》,此次信息暴露很容易被不良行为者利用,例如压迫性政府试图压制、恐吓甚至实际伤害异议人士和批判性记者。此外,受害者似乎也无能为力,除非他们的账户是使用虚拟邮箱或一次性电话号码创建的。担忧的用户可以尝试重置其关联的电子邮件地址,尽管重置电话号码通常更为困难且可能成本更高。
推特(Twitter)方面,自本周早些时候消息披露以来一直保持沉默。自马斯克接管以来,该社交媒体平台的大部分安全专家和团队已被裁撤,整个公关部门也同样如此。
