Co potřebuješ vědět
- Chyba zabezpečení, o které Twitter dříve tvrdil, že ji odstranil, mohla mít za následek ohrožení milionů uživatelských dat.
- Více než 5,4 milionu záznamů uživatelů Twitteru bylo údajně zdarma sdíleno na hackerském fóru.
- Stejná zranitelnost prý také způsobila větší datový výpis obsahující „desítky milionů“ uživatelských dat.
Stará zranitelnost, o které Twitter tvrdil, že byla opravena začátkem tohoto roku, nadále pronásleduje sociální sítě mediální společnosti a zdá se, že má mnohem závažnější bezpečnostní důsledky než my zpočátku podezřelý.
BleepingComputer uvádí, že osobní údaje přibližně 5,4 milionů uživatelů Twitteru ukradené v důsledku zranitelnosti API byly volně sdíleny na fóru hackerů. Zdá se, že jde o stejný výpis dat, který hacker údajně prodal v srpnu za 30 000 dolarů.
Jako rekapitulaci, Twitter v srpnu potvrdila existenci zranitelnosti API to by hackerům umožnilo identifikovat, ke kterému účtu byla přidružena e-mailová adresa nebo telefonní číslo, což by potenciálně odhalilo skutečnou identitu pseudonymních účtů. Společnost však tehdy uvedla, že nenašla žádné důkazy, že by tato chyba byla někdy zneužita.
Nová zpráva BleepingComputer naznačuje, že nejen že je tento výpis dat nabízen na fóru hackerů zdarma, ale ze stejné zranitelnosti se objevily i další sady odcizených dat. Pompompurin, který vlastní hackerské fórum známé jako Breached, řekl BleepingComputer, že vytvořili výpis dat po zneužití chyby. Přiznali také, že zranitelnost byla původně získána od jiného hackera známého jako „Ďábel“.
Kromě 5,4 milionu uživatelských záznamů se Pompompurin hlásí k odpovědnosti za získání 1,4 milionu profilů na Twitteru pro pozastavené účty. Hacker tvrdil, že tento výpis dat byl získán pomocí jiného API, ačkoli byl sdílen soukromě pouze s několika lidmi.
Jiní lidé však mohli zneužít tuto chybu zabezpečení API. Bezpečnostní expert Chad Loder odhalil, že pomocí stejného API mohly být získány desítky milionů uživatelských dat Twitteru. Tento výpis dat zjevně obsahuje osobní telefonní čísla spolu s veřejnými informacemi, jako jsou názvy účtů a Twitter ID.
Loder sdílel redigovaný vzorek uvedeného datového souboru na Mastodon, protože byl na Twitteru zakázán krátce poté, co zveřejnil stejné informace. Dotčené účty na Twitteru jsou údajně založeny v EU a USA a k porušení zjevně „nedošlo dříve než 2021." BleepingComputer zjistil, že výpis dat obsahuje více než 17 milionů záznamů, i když to nemohl potvrdit tento.
Podle BleepingComputer dokázala ověřit pravost uniklých telefonních čísel a zjistila, že se jedná o samostatné záznamy z předchozí pokladnice dat. To znamená, že únik dat je větší, než se dříve myslelo.
Android Central kontaktoval Twitter s žádostí o komentář a aktualizuje tento článek, jakmile se ozveme.