Hvad du behøver at vide
- Twitter blev ramt af en ny sikkerhedssårbarhed, som er blevet rettet.
- Sårbarheden gjorde det muligt for hackere at identificere, hvilken konto en e-mailadresse eller telefonnummer er knyttet til.
- Dette afslørede potentielt den virkelige identitet af pseudonyme konti.
En Twitter-fejl efterlod identiteterne på millioner af hemmelige konti afsløret gennem et hackerforum, har mikroblogtjenesten bekræftet og tilføjet, at den siden har rettet sårbarheden.
Smuthullet gjorde det muligt for dårlige aktører at finde ud af, om et telefonnummer eller en e-mailadresse var knyttet til en eksisterende konto ved blot at indtaste disse oplysninger i log-in-flowet.
"Som et resultat af sårbarheden, hvis nogen indsendte en e-mailadresse eller et telefonnummer til Twitters systemer, Twitters systemer ville fortælle personen, hvilken Twitter-konto de indsendte e-mailadresser eller telefonnummer var tilknyttet, hvis nogen, sagde Twitter i en blogindlæg.
Sikkerhedsfejlen stammede fra en opdatering af Twitters kode introduceret i juni sidste år. Twitter løste problemet efter at have modtaget en rapport i januar sidste år gennem sit bug bounty-program. Virksomheden tilføjede, at den fandt "ingen beviser, der tyder på, at nogen havde draget fordel af sårbarheden", da det først lærte om fejlen.
Fejlrapporten kom dog for sent, fordi nogle dårlige skuespillere allerede havde udnyttet fejlen. Ifølge en Blødende computer rapport solgte en hacker en database med telefonnumre og e-mailadresser knyttet til 5,4 millioner konti via et hackerforum for $30.000.
"Efter at have gennemgået en prøve af de tilgængelige data til salg, bekræftede vi, at en dårlig skuespiller havde udnyttet problemet, før det blev behandlet," bekræftede Twitter.
Virksomheden sagde ikke, hvor mange konti der var berørt, men det sagde, at bruddet potentielt påvirkede brugere med pseudonyme konti. Databasen til salg, ifølge Bleeping Computer, indeholder oplysninger "om forskellige konti, herunder berømtheder, virksomheder og tilfældige brugere."
Twitter vil underrette kontoejere, der er berørt af denne sårbarhed. For brugere med hemmelige konti anbefaler platformen "ikke at tilføje et offentligt kendt telefonnummer eller e-mailadresse" til deres Twitter-konti for at skjule deres identitet.
Heldigvis blev ingen adgangskoder kompromitteret som følge af hacket. Ikke desto mindre opfordrer tjenesten brugerne til det aktivere to-faktor-godkendelse gennem brug af godkendelsesapps eller hardwaresikkerhedsnøgler.