华盛顿邮报4日报道,2亿3500万个推特(Twitter)帐号以及申请推特帐号时使用的电邮地址,被公布于一个黑客网络论坛,某些匿名帐号的真实身分恐将因此曝光。
图源:AP
资安专家分析,这起电邮数据曝光事件,可能导致通过推特发文批评政府等人士的身分曝露、遭到逮捕或沦为暴力受害者,也可能衍生其他勒索事件。黑客掌握电邮数据之后,也可能重新设置推特帐号密码,直接掌控帐户使用权,并未设置两阶段认证的帐户,安全风险特别高。
以色列网络安全公司“哈德逊洛克”(Hudson Rock)共同创办人加尔(Alon Gal)指出,曝光数据将遭到黑客、政治类黑客活动份子(political hacktivists)以及政府利用,进一步伤害人民隐私。加尔在一个颇为热门的地下网络市场平台发现了遭到公布的推特帐号个兹。
华盛顿邮报报道,黑客公布的数据是在2021年底汇整,取得个资的方式则是利用推特系统的漏洞。根据推特设计,外部人士可以通过电邮或电话号码搜索,查看是否有人使用相同电邮或电话申请推特帐号。黑客通过电脑自动演算,可以查找无数的电邮与电话数据。
直到2022年8月,推特表示,在鼓励发现程序异常(bug)的奖赏计划里,才得知系统出现容易数据外泄的脆弱点,至于错误的产生则是几个月前程序更新时意外留下的结果。
2022年7月,有黑客兜售540万个推个帐号、电邮与电话号码。推特坦承,这是推特第一次得知有人利用程序异常取得帐户用户个资。
加尔表示,这次规模更庞大的个资曝光,数据取得方式几乎一模一样,黑客曾经想要寻找同意私下交易的买主,这笔数据在网络流传一阵子之后,如今终于公布在黑客论坛。
爱尔兰数据保护委员会(Data Protection Commission)2022年12月表示,正在调查推特个资外泄事件,整起事件可能涉及触犯欧盟通用数据保护规则(General Data Protection Regulation,GDPR)。华盛顿邮报报道,最新曝光的个资外泄事件可能让各界对推特的调查加重力道,联邦贸易委员会(Federal Trade Commission,FTC)则持续调查推特是否违反曾经承诺强保护个资“协议裁决”(consent decrees)。
