ما تحتاج إلى معرفته
- تعرض تويتر لثغرة أمنية جديدة تم إصلاحها.
- مكنت الثغرة الأمنية المتسللين من تحديد الحساب المرتبط به عنوان البريد الإلكتروني أو رقم الهاتف.
- من المحتمل أن يؤدي هذا إلى الكشف عن الهوية الحقيقية للحسابات ذات الأسماء المستعارة.
أكدت خدمة المدونات الصغيرة ، أن خطأً في Twitter ترك هويات ملايين الحسابات السرية مكشوفة من خلال منتدى المتسللين ، مضيفة أنها قامت منذ ذلك الحين بإصلاح الثغرة الأمنية.
مكّنت الثغرة الجهات الفاعلة السيئة من معرفة ما إذا كان رقم الهاتف أو عنوان البريد الإلكتروني مرتبطًا بحساب موجود بمجرد إدخال هذه الأجزاء من المعلومات في تدفق تسجيل الدخول.
"نتيجة للثغرة الأمنية ، إذا أرسل شخص ما عنوان بريد إلكتروني أو رقم هاتف إلى أنظمة Twitter ، وأنظمة Twitter سيخبر الشخص بحساب Twitter الذي تم ربط عناوين البريد الإلكتروني أو رقم الهاتف به ، إن وجد " في مشاركة مدونة.
نشأ الخلل الأمني من تحديث رمز Twitter الذي تم تقديمه في يونيو من العام الماضي. قام Twitter بإصلاح المشكلة بعد تلقي تقرير في يناير الماضي من خلال برنامج bug bounty. وأضافت الشركة أنها لم تجد "أي دليل يشير إلى أن شخصًا ما قد استغل الثغرة الأمنية" عندما علمت لأول مرة عن الخطأ.
ومع ذلك ، جاء تقرير الخطأ بعد فوات الأوان لأن بعض الجهات الفاعلة السيئة قد استغلت الخلل بالفعل. وفقا ل كمبيوتر نائم في التقرير ، باع أحد المتسللين قاعدة بيانات تحتوي على أرقام هواتف وعناوين بريد إلكتروني مرتبطة بحسابات 5.4 مليون حساب عبر منتدى قراصنة مقابل 30 ألف دولار.
وأكد موقع تويتر "بعد مراجعة عينة من البيانات المتاحة للبيع ، أكدنا أن جهة فاعلة سيئة قد استغل المشكلة قبل معالجتها".
لم تذكر الشركة عدد الحسابات المتأثرة ، لكنها قالت إن الخرق قد يؤثر على المستخدمين الذين لديهم حسابات بأسماء مستعارة. تحتوي قاعدة البيانات المعروضة للبيع ، وفقًا لـ Bleeping Computer ، على معلومات "حول حسابات مختلفة ، بما في ذلك المشاهير والشركات والمستخدمين العشوائيين".
سيقوم Twitter بإخطار مالكي الحسابات المتأثرين بهذه الثغرة الأمنية. بالنسبة للمستخدمين الذين لديهم حسابات سرية ، توصي المنصة "بعدم إضافة رقم هاتف أو عنوان بريد إلكتروني معروف للجمهور" إلى حساباتهم على Twitter لإخفاء هويتهم.
لحسن الحظ ، لم يتم اختراق كلمات المرور نتيجة الاختراق. ومع ذلك ، فإن الخدمة تشجع المستخدمين على تمكين المصادقة الثنائية من خلال استخدام تطبيقات المصادقة أو مفاتيح أمان الأجهزة.