Τι πρέπει να ξέρετε
- Μια ευπάθεια που προηγουμένως ισχυριζόταν ότι είχε διορθώσει το Twitter μπορεί να είχε ως αποτέλεσμα την παραβίαση εκατομμυρίων δεδομένων χρηστών.
- Πάνω από 5,4 εκατομμύρια αρχεία χρηστών του Twitter φέρεται να έχουν κοινοποιηθεί δωρεάν σε φόρουμ hacking.
- Η ίδια ευπάθεια λέγεται επίσης ότι δημιούργησε μια μεγαλύτερη χωματερή δεδομένων που περιέχει «δεκάδες εκατομμύρια» δεδομένα χρηστών.
Μια παλιά ευπάθεια που το Twitter ισχυρίστηκε ότι επιδιορθώθηκε νωρίτερα φέτος συνεχίζει να στοιχειώνει τα κοινωνικά δίκτυα εταιρεία πολυμέσων, και φαίνεται να έχει πολύ πιο σοβαρές επιπτώσεις στην ασφάλεια από ό, τι αρχικά ύποπτος.
BleepingComputer αναφέρει ότι προσωπικές πληροφορίες περίπου 5,4 εκατομμυρίων χρηστών του Twitter που κλάπηκαν ως αποτέλεσμα ευπάθειας API έχουν κοινοποιηθεί ελεύθερα σε φόρουμ χάκερ. Αυτή φαίνεται να είναι η ίδια απόρριψη δεδομένων που ένας χάκερ φέρεται να πούλησε τον Αύγουστο για 30.000 δολάρια.
Ανακεφαλαιώνοντας, το Twitter επιβεβαίωσε τον Αύγουστο την ύπαρξη ευπάθειας API
που θα επέτρεπε στους χάκερ να προσδιορίσουν με ποιον λογαριασμό συσχετίστηκε μια διεύθυνση email ή ένας αριθμός τηλεφώνου, αποκαλύπτοντας ενδεχομένως την πραγματική ταυτότητα των ψευδώνυμων λογαριασμών. Ωστόσο, η εταιρεία είπε τότε ότι δεν βρήκε στοιχεία που να αποδεικνύουν ότι αυτό το ελάττωμα έγινε ποτέ εκμετάλλευση.Η νέα αναφορά BleepingComputer υποδεικνύει ότι όχι μόνο αυτή η απόρριψη δεδομένων προσφέρεται δωρεάν σε ένα φόρουμ χάκερ, αλλά και άλλα σύνολα κλεμμένων δεδομένων έχουν επίσης προκύψει από την ίδια ευπάθεια. Η Pompompurin, η οποία κατέχει το φόρουμ hacking γνωστό ως Breached, είπε στο BleepingComputer ότι δημιούργησαν τη χωματερή δεδομένων αφού εκμεταλλεύτηκαν το σφάλμα. Παραδέχτηκαν επίσης ότι η ευπάθεια ελήφθη αρχικά από έναν άλλο χάκερ γνωστό ως «Διάβολος».
Εκτός από τα 5,4 εκατομμύρια αρχεία χρηστών, η Pompompurin αναλαμβάνει την ευθύνη για την απόκτηση 1,4 εκατομμυρίων προφίλ στο Twitter για λογαριασμούς που έχουν τεθεί σε αναστολή. Ο χάκερ ισχυρίστηκε ότι αυτή η απόρριψη δεδομένων ελήφθη με χρήση άλλου API, αν και κοινοποιήθηκε ιδιωτικά μόνο με λίγα άτομα.
Ωστόσο, άλλα άτομα μπορεί να έχουν εκμεταλλευτεί την ευπάθεια του API. Ο ειδικός σε θέματα ασφάλειας Chad Loder αποκάλυψε ότι δεκάδες εκατομμύρια δεδομένα χρηστών του Twitter ενδέχεται να έχουν ληφθεί χρησιμοποιώντας το ίδιο API. Αυτή η απόρριψη δεδομένων περιλαμβάνει προφανώς προσωπικούς αριθμούς τηλεφώνου μαζί με δημόσιες πληροφορίες, όπως ονόματα λογαριασμών και αναγνωριστικό Twitter.
Ο Λόντερ μοιράστηκε ένα διορθωμένο δείγμα του εν λόγω δεδομένων στο Mastodon, καθώς αποκλείστηκε στο Twitter λίγο μετά τη δημοσίευση των ίδιων πληροφοριών. Οι επηρεαζόμενοι λογαριασμοί Twitter λέγεται ότι έχουν την έδρα τους στην ΕΕ και τις ΗΠΑ και η παραβίαση προφανώς «δεν συνέβη νωρίτερα από το 2021." Η BleepingComputer έμαθε ότι η απόρριψη δεδομένων περιείχε περισσότερες από 17 εκατομμύρια εγγραφές, αν και δεν μπορούσε να επιβεβαιώσει Αυτό.
Σύμφωνα με το BleepingComputer, μπόρεσε να επικυρώσει την αυθεντικότητα των αριθμών τηλεφώνου που διέρρευσαν και ανακάλυψε ότι αυτά ήταν ξεχωριστά αρχεία από τον προηγούμενο θησαυρό δεδομένων. Αυτό σημαίνει ότι η παραβίαση δεδομένων είναι μεγαλύτερη από ό, τι πιστεύαμε προηγουμένως.
Το Android Central επικοινώνησε με το Twitter για σχόλια και θα ενημερώσει αυτό το άρθρο όταν μάθουμε νέα.