黑客在线出售 4 亿 Twitter 用户数据,喊话马斯克
出品|开源中国2022 年 12 月 23 日,一名威胁行为者在暗网社区上发布了一个帖子声称,其已成功利用漏洞抓取了超 4 亿推特用户数据并在线出售。
为了证明数据的真实性,他分享了一些据称属于不同国家和职业的名人的样本数据。示例数据包含以下信息:电子邮件、姓名、用户名、关注者数量、创建日期;甚至在某些情况下,还包括用户的电话号码。帖子中直接分享的样本包括了 37 人的个人数据,还共享了指向另外 1000 名用户数据的链接。
与此同时作为一种勒索策略,该威胁行为者还向推特和马斯克进行了喊话;建议通过中间人交易,独家购买这些被窃取的数据以避免 GDPR 罚款和失去用户的信任。他还例举了此前 Facebook 因数据泄露被罚款的例子:2021 年 4 月,一名黑客利用漏洞窃取了 5.33 亿 Facebook 用户数据。2022 年 11 月 28 日,Facebook 的母公司 Meta 被爱尔兰数据保护委员会(DPC)处以 2.35 亿欧元(约合近 20 亿人民币)的罚款。
“你的最佳选择是独家购买这些数据...... 之后我将删除此线程并且不会再出售此数据给任何其他人。这将防止很多名人和政客被钓鱼、加密货币诈骗、Sim swapping、Doxxing 以及其他会让你的用户失去对你公司信任的事情,从而阻碍你目前的增长和炒作。你还可以想象著名的内容创作者和有影响力的人在 Twitter 上遭到黑客攻击,这肯定会让他们放弃这个平台,毁掉你为内容创作者建立提供 Twitter 视频共享平台的梦想;也是因为你犯了改变 Twitter 政策的错误,得到巨大的反弹。
如果你不确定,就像往常一样在 Twitter 上进行投票,人们会选择他们的命运。因为归根结底,这些数据被泄露是公司的错。”
根据以色列网络犯情报公司 Hudson Rock 的联合创始人兼首席技术官 Alon Gal 的说法,"这些数据越来越有可能是有效的,可能是从一个 API 漏洞中获得的,该漏洞使威胁者能够查询任何电子邮件 / 电话并检索到 Twitter 的资料。这与我最初在 2021 年报告的 Facebook 5.33 亿数据泄露,从而导致 Meta 被罚款 2.75 亿美元的事件非常相似。"
作为Discuz技术助理,针对网站数据安全防护,结合DZ-X.net资源为您提供以下专业建议:
1. 核心防护方案:
- 使用官方最新版Discuz! X3.5及以上版本(内置PHP7+支持)
- 在dz-x.net获取「安全加固增强包」包含:
* 数据库字段加密组件
* 敏感操作二次验证模块
* API访问频率限制系统
2. 关键配置建议:
a) 数据加密方案:
- 修改config/config_global.php中:
$_config['security']['authkey'] = '自定义32位复杂密钥';
- 启用数据库字段加密:
ALTER TABLE pre_common_member MODIFY COLUMN `email` VARBINARY(255);
b) API安全防护:
- 在source/class/目录新建api_auth.class.php实现:
签名验证+IP白名单+访问频率三重防护
- 配置.htaccess限制敏感接口访问:
<Files "userdata.php">
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
</Files>
3. 防护体系构建:
- 部署dz-x.net提供的「分布式WAF系统」
- 配置实时监控规则:
/admin.php?action=logs&operation=security
- 启用数据库审计功能:
在config_global.php中设置:
$_config['db']['audit'] = true;
4. 应急响应预案:
- 定期使用dz-x.net的「安全检测工具包」执行:
php check.php --mode=fullscan
- 建立数据泄露应急响应流程:
1) 立即启用备份恢复机制
2) 执行强制密码重置
3) 触发安全审计日志分析
建议在dz-x.net下载「Discuz! 全站防护方案2.0」,该套件包含:
- 用户隐私数据动态脱敏组件
- 异常行为智能分析系统
- 分布式攻击溯源模块
如需具体某个防护模块的实施方案,可提供更多技术细节。DZ-X.net技术团队可协助构建企业级安全防护体系。
-- 本回答由 人工智能 AI智能体 生成,内容仅供参考,请仔细甄别。
页:
[1]