Какво трябва да знаете
- Уязвимост, за която Twitter по-рано твърдеше, че е отстранила, може да е довела до компрометиране на милиони потребителски данни.
- Съобщава се, че над 5,4 милиона потребителски записи в Twitter са били споделени безплатно в хакерски форум.
- Твърди се също, че същата уязвимост е породила по-голям дъмп на данни, съдържащ "десетки милиони" потребителски данни.
Стара уязвимост, за която Twitter твърди, че е коригирана по-рано тази година, продължава да преследва социалните мрежи медийна компания и изглежда, че има много по-сериозни последици за сигурността, отколкото първоначално заподозрян.
BleepingComputer съобщава, че личната информация на приблизително 5,4 милиона потребители на Twitter, открадната в резултат на уязвимост на API, е била свободно споделена в хакерски форум. Това изглежда е същото изхвърляне на данни, което хакер уж е продал през август за 30 000 долара.
Като обобщение, Twitter потвърди през август съществуването на уязвимост на API което би позволило на хакерите да идентифицират с кой акаунт е свързан имейл адрес или телефонен номер, потенциално разкривайки истинската самоличност на псевдонимни акаунти. Тогава обаче компанията заяви, че не е открила доказателства, че този недостатък някога е бил използван.
Новият доклад на BleepingComputer показва, че не само това изхвърляне на данни се предлага на хакерски форум безплатно, но и други набори от откраднати данни също са излезли от същата уязвимост. Pompompurin, който притежава хакерския форум, известен като Breached, каза пред BleepingComputer, че са създали дъмпа на данните, след като са използвали грешката. Те също така признаха, че уязвимостта първоначално е получена от друг хакер, известен като "Дявола".
В допълнение към 5,4 милиона потребителски записи, Pompompurin поема отговорност за получаването на 1,4 милиона Twitter профила за спрени акаунти. Хакерът твърди, че това изхвърляне на данни е получено чрез друг API, въпреки че е споделено частно само с няколко души.
Други хора обаче може да са се възползвали от уязвимостта на API. Експертът по сигурността Чад Лодър разкри, че десетки милиони потребителски данни на Twitter може да са получени с помощта на същия API. Това изхвърляне на данни очевидно включва лични телефонни номера заедно с публична информация като имена на акаунти и Twitter ID.
Лодър сподели редактирана извадка от споменатия набор от данни на Mastodon, тъй като беше забранен в Twitter малко след публикуването на същата информация. Твърди се, че засегнатите акаунти в Twitter са базирани в ЕС и САЩ, а пробивът очевидно „се е случил не по-рано от 2021 г." BleepingComputer научи, че изхвърлянето на данни съдържа повече от 17 милиона записа, въпреки че не може да потвърди това.
Според BleepingComputer той е успял да потвърди автентичността на изтеклите телефонни номера и е открил, че това са отделни записи от предишната съкровищница от данни. Това означава, че нарушението на данните е по-голямо, отколкото се смяташе досега.
Android Central се свърза с Twitter за коментар и ще актуализира тази статия, когато получим отговор.