Co potřebuješ vědět
- Twitter byl zasažen novou bezpečnostní chybou, která byla opravena.
- Tato chyba zabezpečení umožnila hackerům identifikovat, ke kterému účtu je přidružena e-mailová adresa nebo telefonní číslo.
- To potenciálně odhalilo skutečnou identitu pseudonymních účtů.
Chyba Twitteru odhalila identitu milionů tajných účtů prostřednictvím fóra hackerů, potvrdila služba mikroblogování a dodala, že od té doby zranitelnost opravila.
Tato mezera umožnila zlodějům zjistit, zda je telefonní číslo nebo e-mailová adresa spojena s existujícím účtem, pouhým zadáním těchto informací do toku přihlášení.
„V důsledku zranitelnosti, pokud někdo odeslal e-mailovou adresu nebo telefonní číslo do systémů Twitteru, systémy Twitteru by dotyčné osobě řekl, s jakým účtem na Twitteru byly zaslané e-mailové adresy nebo telefonní číslo spojeny, pokud nějaké jsou,“ uvedl Twitter v blogový příspěvek.
Bezpečnostní chyba pramenila z aktualizace kódu Twitteru představené v červnu loňského roku. Twitter problém vyřešil poté, co loni v lednu obdržel zprávu prostřednictvím svého programu odměn za chyby. Společnost dodala, že nenašla „žádné důkazy, které by naznačovaly, že někdo zneužil zranitelnosti“, když se o chybě poprvé dozvěděl.
Chybová zpráva však přišla příliš pozdě, protože někteří špatní herci již tuto chybu využili. Podle a Pípavý počítač Hacker prodal databázi obsahující telefonní čísla a e-mailové adresy propojené s 5,4 miliony účtů prostřednictvím fóra hackerů za 30 000 dolarů.
"Po přezkoumání vzorku dostupných dat k prodeji jsme potvrdili, že špatný herec využil problému, než byl vyřešen," potvrdil Twitter.
Společnost neuvedla, kolik účtů bylo zasaženo, ale uvedla, že porušení potenciálně ovlivnilo uživatele s pseudonymními účty. Databáze k prodeji podle Bleeping Computer obsahuje informace „o různých účtech, včetně celebrit, společností a náhodných uživatelů“.
Twitter upozorní vlastníky účtů, kterých se tato chyba zabezpečení týká. Uživatelům s tajnými účty platforma doporučuje „nepřidávat veřejně známé telefonní číslo nebo e-mailovou adresu“ k jejich účtům na Twitteru, aby byla skryta jejich identita.
Naštěstí nebyla v důsledku hacku prozrazena žádná hesla. Služba nicméně uživatele k tomu vyzývá povolit dvoufaktorovou autentizaci pomocí ověřovacích aplikací nebo hardwarových bezpečnostních klíčů.