Twitter 日前公布遭受零日攻擊,超過 540 萬帳戶的手提電話和電郵地址被洩露。由於 Twitter 無法確認每一個潛在受到攻擊的帳戶,所以發出公開通告呼籲高急用戶如記者或政治活躍分子可能會成為國家或其他惡意分子的攻擊對象。
Twitter 指這個漏洞容許人們在登入流程中輸入手機號碼或電郵地址後,如果發現能配對到哪個 Twitter 帳戶的話,就會告知是哪個具體帳戶。有心人就可以利用辭典攻擊方式,逐一套取帳戶的手機號碼和電郵地址,並從而取得帳戶的登入名、用戶名稱、追隨者數量、頭像圖片網址,而密碼就沒有洩漏。
據 Twitter 表示,這個漏洞是在今年 1 月透過懸賞回報漏洞計劃而得知,漏洞時由於去年 6 月一次系統更新而引發的,並且已經即時修正,當時他們認為並未有人利用這個漏洞。
不過到今年 7 月,網絡安全機構 Restore Privacy 就發表報告,指有大量 Twitter 帳戶的資料被放到暗網以 3 萬美元出售(約港幣 $235,000 )。 Twitter 使用樣本資料作比對後,才證實有人在漏洞修補前竊取了大量用戶的手機號號碼和電郵地址。
雖然 Twitter 已經通知已確認受影響用戶,不過由於無法確認所有潛在受攻擊帳戶,所以就發出公告。 Twitter 表示他們明白對利用匿名 Twitter 帳戶來發報訊息的用戶來說,這次漏洞所帶來的風險很大,並對事件表示遺憾。而為了盡可能隱藏身分, Twitter 呼籲這類用戶不要將公開的電話和電郵加入 Twitter 帳戶。
Twitter 同時呼籲用戶即使今次漏洞沒有洩露用戶密碼,也應該開啟雙步驟驗證,以防止不法登入帳戶。而保安專家就指由於名單已經落入惡意分子手上,用戶應該小心遭受釣魚電郵攻擊。