Twitter周五透露,一个现已修补的0 day 漏洞被用来将电话号码和电子邮件链接到社交媒体平台上的用户帐户。
社交媒体平台Twitter证实,一个0 day漏洞允许威胁行为者访问 540 万用户帐户配置文件的个人信息。
“由于该漏洞,如果有人向 Twitter 的系统提交了电子邮件地址或电话号码,Twitter 的系统会告诉该人所提交的电子邮件地址或电话号码与哪个 Twitter 帐户相关联”该公司在一份声明中说。
漏洞详情
Twitter 表示,该漏洞于2022年 1 月被发现,源于 2021 年 6 月引入的代码更改。该事件未导致密码泄露。代码中的安全缺陷也经常会为软件带来潜在安全漏洞,在编写代码时检测代码安全问题通常会减少漏洞带来的安全风险。
推迟六个月公布这一消息源于上个月的新证据,即身份不明的行为者可能在修复之前利用该漏洞来抓取用户信息并在Breach Forums上出售以获取利润。
尽管 Twitter 没有透露受影响用户的确切数量,但威胁者发布的论坛帖子显示,该漏洞被利用来编制一份列表,其中包含据称超过 548 万个用户帐户资料。
上月底披露了违规行为的Restore Privacy表示,该数据库的售价为 30,000 美元。
Twitter 表示正在直接通知受此问题影响的帐户所有者,同时还敦促用户打开双重身份验证以防止未经授权的登录。
应用程序泄露 Twitter API 密钥
上周,印度网络安全公司 CloudSEK 在一份报告中表示,它发现了 3207 个泄露有效 Twitter API 密钥的应用程序。
该公司表示,这些 Twitter API 的消费者密钥和消费者秘密可用于访问或接管 Twitter 帐户。
Salt Security 的首席技术官 Nick Rago 表示,攻击者通常会以 API 为目标,寻找利用 API 的移动应用程序并对移动应用程序二进制文件进行逆向工程,以查看开发人员是否留下了任何“好东西”帮助访问 API。
“投资开发人员安全教育是帮助解决长期问题的关键,但对 API 进行充分的运行时保护和行为监控对于立即检测这些类型的违规行为至关重要,”同时也是 API 管理和安全专家的 Rago 说。
重要的是要注意,这只是安全漏洞的另一个示例,它可以规避当今大多数组织在其 API 面前拥有的传统的基于签名的安全防御。
来源:
