Какво трябва да знаете
- Twitter беше засегнат от нова уязвимост в сигурността, която беше коригирана.
- Уязвимостта позволи на хакерите да идентифицират с кой акаунт е свързан имейл адрес или телефонен номер.
- Това потенциално разкри истинската самоличност на псевдонимни акаунти.
Грешка в Twitter разкри самоличността на милиони тайни акаунти чрез хакерски форум, потвърди услугата за микроблогинг, добавяйки, че оттогава е поправила уязвимостта.
Пропускът позволи на лошите участници да разберат дали телефонен номер или имейл адрес е свързан със съществуващ акаунт, като просто въведат тези части от информацията в потока за влизане.
„В резултат на уязвимостта, ако някой изпрати имейл адрес или телефонен номер до системите на Twitter, системите на Twitter ще каже на лицето с кой акаунт в Twitter са свързани изпратените имейл адреси или телефонен номер, ако има такива“, каза Twitter в блог пост.
Пропускът в сигурността произтича от актуализация на кода на Twitter, въведен през юни миналата година. Twitter коригира проблема, след като получи доклад миналия януари чрез своята програма за награди за грешки. Компанията добави, че не е открила "никакви доказателства, които да предполагат, че някой се е възползвал от уязвимостта", когато за първи път е научила за грешката.
Докладът за грешка обаче дойде твърде късно, защото някои лоши актьори вече бяха използвали недостатъка. Според а Блеещ компютър доклад, хакер продаде база данни, съдържаща телефонни номера и имейл адреси, свързани с 5,4 милиона акаунта чрез хакерски форум за $30 000.
„След като прегледахме извадка от наличните данни за продажба, ние потвърдихме, че лош актьор се е възползвал от проблема, преди да бъде разгледан“, потвърди Twitter.
Компанията не каза колко акаунта са били засегнати, но каза, че пробивът потенциално е засегнал потребители с псевдонимни акаунти. Базата данни за продажба, според Bleeping Computer, съдържа информация „за различни акаунти, включително знаменитости, компании и случайни потребители“.
Twitter ще уведоми собствениците на акаунти, засегнати от тази уязвимост. За потребители с тайни акаунти платформата препоръчва „да не добавят публично известен телефонен номер или имейл адрес“ към своите акаунти в Twitter, за да скрият самоличността си.
За щастие не са били компрометирани пароли в резултат на хакването. Въпреки това услугата насърчава потребителите да активирайте двуфакторно удостоверяване чрез използване на приложения за удостоверяване или хардуерни ключове за сигурност.