8月5日,这家社交媒体公司表示,去年Twitter软件的一个漏洞显然被一个恶意行为者利用,该漏洞使数量不明的匿名账户所有者暴露在潜在的身份泄露中。
有报道称540万用户的数据因此在网上被出售,但该公司没有证实这一报道,但表示全球用户都受到了影响。
这次泄露尤其令人担忧,因为许多Twitter账户所有者,包括人权活动人士,出于安全原因,包括担心受到专制当局的迫害,都没有在个人资料中披露自己的身份。
美国海军学院数据安全专家杰夫·科塞夫在推特上写道:“这对许多使用匿名推特账户的人来说非常糟糕。”
该公司表示,该漏洞允许用户在登录时确定特定的电话号码或电子邮件地址是否与现有的Twitter账户绑定,从而暴露账户所有者。
推特表示,不知道有多少用户可能受到影响,并强调没有密码被泄露。
推特发言人在电子邮件中说:“我们可以确认影响是全球性的。”“我们无法确定有多少账户受到影响,也无法确定账户持有人的位置。”
上个月,数字隐私倡导组织Restore privacy发布了一份报告,详细描述了可能从该漏洞获取的数据是如何在一个流行的黑客论坛上以3万美元(133,830令吉)的价格出售的。
今年1月,一名安全研究员发现了这个漏洞,通知了推特,据报道,他得到了5000美元(22305令吉)的赏金。推特表示,该漏洞是在2021年6月的软件更新中引入的,已立即修复。
推特表示,它从媒体报道中得知了黑客论坛上的数据出售,并“证实在问题得到解决之前,一个坏人已经利用了这个问题”。
该公司表示,它正在直接通知所有能确认受到影响的账户所有者。
该公司表示:“我们之所以发布这一更新,是因为我们无法确认每一个可能受到影响的账户,特别注意那些拥有假名账户的人,他们可能会被政府或其他行为者锁定为目标。”
它建议那些试图隐藏自己身份的用户不要在Twitter账户上添加公开的电话号码或电子邮件地址。
“如果你运营一个匿名的Twitter账户,我们理解这样的事件可能带来的风险,并对此事的发生深感遗憾,”该公司表示。
泄露事件发生时,推特正与特斯拉首席执行官埃隆·马斯克(Elon Musk)就其之前以440亿美元(约合962.8亿令吉)收购旧金山推特的提议进行法律斗争。——美联社
