Twitter 承認近期曝光的用戶數據洩露事件，是黑客利用一個零日漏洞來實現的，目前該漏洞已經修復。該漏洞存在於將電子郵件地址和電話號碼綁定用戶帳戶的這項功能中，導致黑客獲取了一份包含540 萬用戶賬戶的列表文件。

上個月BleepingComputer 獲悉，有黑客表示他們可以利用社交媒體網站上的一個漏洞，創建一個包含540 萬個Twitter 帳戶配置文件的列表。

此漏洞允許任何人提交電子郵件地址或電話號碼，驗證它是否與Twitter 帳戶關聯，並檢索關聯的帳戶ID。然後，威脅參與者使用此ID 來抓取該帳戶的公共信息。

這使得攻擊者能夠在2021 年12 月創建540 萬Twitter 用戶的個人資料，包括經過驗證的電話號碼或電子郵件地址，並抓取公共信息，例如關注者數量、屏幕名稱、登錄名、位置、個人資料圖片URL 和其他信息。

BleepingComputer 後來了解到，兩個不同的威脅參與者以低於原始售價的價格購買了這些數據，並且這些數據可能會在未來免費發布。

今天，Twitter 已確認威脅行為者在12 月使用的漏洞與他們在2022 年1 月報告並修復的漏洞相同，這是他們作為HackerOne 漏洞賞金計劃的一部分。

Twitter 在今天的安全公告中披露：“在2022 年1 月，我們通過我們的漏洞賞金計劃收到了一份漏洞報告，該漏洞允許某人識別與帳戶關聯的電子郵件或電話號碼，或者，如果他們知道某人的電子郵件或電話號碼，他們可以識別他們的Twitter 帳戶，如果存在的話”。