值得一提的是,今年 8 月,Twitter 承认某网络犯罪组织利用 2022 年 1 月修复的漏洞,盗取了 540 万推特用户的个人数据信息。据悉,网络攻击者通过利用该漏洞将电子邮件地址和电话号码链接到 Twitter 用户的帐户,成功盗取数据。
不同于媒体宣传的那样,Twitter 强调此次 2 亿 Twitter 用户数据泄漏事件并非是利用了 2022 年 1 月修补的漏洞,经安全专家分析研究,发现泄露的数据集中都不包含密码或可能导致密码被泄露的信息。
此外,Twitter 补充称,根据调查分析 2 亿用户数据泄漏事件,安全研究人员认为这些数据很可能是在网上公开的数据集。
虽然 Twitter 不断解释数据泄露事件和以往的漏洞没有关系,但一直未能讲清楚 2 亿用户泄露的数据是如何准确地与他们账户相关的电子邮件地址联系起来的。
数据泄漏事件发生后,Twitter 一直与多个国家的数据保护机构和其它相关数据监管机构联系,期望获得更多有关 "2 亿用户数据泄露事件 "的细节。
2022 年 12 月,爱尔兰数据保护委员会(DPC)宣布,在收到消息称 540 万推特用户个人信息在网上泄露后,委员会发起了一项调查,并“提出了与 GDPR 合规相关的问题”。值得一提的是,这并不是 DPC 第一次盯上 Twitter,两年前,因其没有按照欧盟《通用数据保护条例》(GDPR)规定的 72 小时内通知数据监督机构发生违规事件,对 Twitter 处以 45 万欧元的罚款。
参考文章:https://www.bleepingcomputer.com/news/security/twitter-claims-leaked-data-of-200m-users-not-stolen-from-its-systems/#google_vignette