据11月29日消息,今年7月,网络犯罪分子利用2021年12月披露的Twitter API漏洞,开始在黑客论坛上出售超过540万Twitter用户的数据。近日,一名黑客免费发布了这一信息。
图片来源Pexels
根据Twitter 8 月份的一篇博客文章,该漏洞允许黑客向API 提交电子邮件地址或电话号码,以确定它们与哪个帐户关联。尽管Twitter在一月份修复了该漏洞,但它仍然暴露了数百万用户的私人电话号码和电子邮件地址。
Salt Security 报告称,在过去12 个月中,95% 的组织在其API 中遇到了安全问题,20% 的组织因其API 中的安全漏洞而遭受了数据泄露。这种高利用率符合Gartner 的预测,即API 攻击将成为今年最常见的攻击媒介。
API漏洞可以提供对前所未有的大量数据的访问,Avivi指出这些漏洞提供了对底层数据的直接访问。
此漏洞造成的最重要威胁是社会工程。网络犯罪分子可能会利用从此次泄露中获得的姓名和地址,通过电子邮件网络钓鱼、语音网络钓鱼和网络钓鱼诈骗来瞄准用户,试图诱骗用户交出个人信息和登录凭据。
虽然这些诈骗针对的是最终用户,但组织和安全团队可以及时提供更新,以确保用户了解他们最有可能面临的威胁以及如何应对这些威胁。对于安全团队来说,提醒员工在其个人帐户上激活双因素身份验证以减少未经授权登录的可能性也是一个好主意。