Twitter周五透露,一个现已修补的零日漏洞被用来将电话号码和电子邮件与该社交媒体平台上的用户账户联系起来。
该公司在一份公告中说:“由于该漏洞,如果有人向Twitter的系统提交了电子邮件地址或电话号码,Twitter的系统会告诉该人所提交的电子邮件地址或电话号码与哪个Twitter帐户相关联,如果存在的话。”
Twitter表示,该漏洞于2022年1月被发现,源于2021年6月引入的代码迭代。该事件未导致密码泄露。
推迟6个月公开此事,是因为上个月有新的证据表明,一个身份不明的行为者可能在修复之前利用该漏洞来抓取用户信息并在Breach Forums上出售以获取利润。
尽管Twitter没有透露受影响用户的确切数量,但威胁者发布的论坛帖子显示,该漏洞被利用来获取了一份用户信息对应的列表,其中包含据超过548万个用户帐户配置信息。
上月底披露该漏洞的Restore Privacy公司表示,该数据库正以3万美元的价格出售。
Twitter表示正在直接通知受此问题影响的帐户所有者,同时还敦促用户打开双重身份验证,以防止未经授权的登录。
在这一事件发生之前,推特在5月同意支付1.5亿美元的罚款,以解决美国司法部的投诉,该投诉称该公司在2014年至2019年期间未经用户同意将用户提供的安全验证信息用于广告目的。