推特前年遭骇去年才发现 逾2亿电邮个资外泄
资安研究人员周三(1月4日)指出,骇客窃取2亿多个推特用户的电子邮件地址,并将资料公布到一个网络骇客论坛。
《华盛顿邮报》报道,2亿3500万个推特帐号以及申请推特帐号时使用的电邮地址被公布于该论坛上,某些匿名帐号的真实身份恐将因此曝光。
利用系统漏洞取得个资
报道称,骇客公布的资料是在2021年底汇整,取得个资的方式则是利用推特系统的漏洞。根据推特设计,外部人士可透过电邮或电话号码搜寻,查看是否有人使用相同电邮或电话申请推特帐号,骇客透过电脑自动演算,可查询无数的电邮与电话资料。
直到2022年8月,推特表示,在鼓励发现程序异常(bug)的奖赏计划里,才得知系统出现容易资料外泄的脆弱点,至于错误的产生则是几个月前程序更新时意外留下的结果。
路透社报道,以色列网路安全监控公司哈德逊洛克(Hudson Rock)的共同创办人加尔在LinkedIn写道:“这起遭骇事件不幸地将引发更多骇客、锁定对象的钓鱼与人肉搜索事件,是我看过最严重的资料外泄”。
推特未评论 路透社无法查真伪
加尔去年12月24日率先在社群媒体披露这则消息后,推特尚未对此发表评论,也没有回应关于资料外泄的问题。目前不清楚推特是否已采取行动调查或补救。
路透社无法证实论坛资料的真伪及是否从推特外流,骇客论坛上周三出现推特用户电邮个资的荧幕截图,目前在网络流传。
目前尚无骇客身份或所在位置等线索。事件恐早在2021年初就发生,意即有可能在马斯克去年取得推特所有权前就遭骇。
此前在去年12月时传出的说法,是有4亿笔推特用户的电邮与电话号码等个资被盗。
推特发生重大个资外泄案,可能会引起大西洋两岸的监管机构关注。
推特欧洲总部所在地爱尔兰的资料保护委员会与美国联邦贸易委员会,都在监督马斯克旗下的推特是否符合欧洲资料保护规定以及美国相关规定。《华邮》报道,最新曝光的个资外泄事件可能让各界对推特的调查加重力道。
