Što trebaš znati
- Ranjivost za koju je Twitter prethodno tvrdio da ju je popravio mogla je dovesti do ugrožavanja milijuna korisničkih podataka.
- Više od 5,4 milijuna zapisa korisnika Twittera navodno je besplatno podijeljeno na hakerskom forumu.
- Rečeno je da je ista ranjivost stvorila veći dump podataka koji sadrži "desetke milijuna" korisničkih podataka.
Stara ranjivost za koju je Twitter tvrdio da je popravljena ranije ove godine nastavlja progoniti društvene mreže medijsku tvrtku, a čini se da ima daleko ozbiljnije sigurnosne implikacije nego što smo to mi u početku osumnjičeni.
BleepingComputer izvještava da su osobni podaci približno 5,4 milijuna korisnika Twittera ukradeni kao rezultat ranjivosti API-ja slobodno dijeljeni na hakerskom forumu. Čini se da je ovo isti deponij podataka koji je haker navodno prodao u kolovozu za 30.000 dolara.
Da rezimiramo, Twitter je u kolovozu potvrdio postojanje API ranjivosti koji bi hakerima omogućili da identificiraju s kojim je računom povezana adresa e-pošte ili telefonski broj, potencijalno razotkrivajući pravi identitet pseudonimiziranih računa. Međutim, tvrtka je tada rekla da nije pronašla dokaze da je ovaj nedostatak ikada iskorišten.
Novo izvješće BleepingComputera pokazuje da ne samo da se taj dump podataka nudi na hakerskom forumu besplatno, nego su i drugi skupovi ukradenih podataka također proizašli iz iste ranjivosti. Pompompurin, koji je vlasnik hakerskog foruma poznatog kao Breached, rekao je za BleepingComputer da su napravili deponiju podataka nakon iskorištavanja buga. Također su priznali da je ranjivost izvorno dobivena od drugog hakera poznatog kao "Đavo".
Osim evidencije o 5,4 milijuna korisnika, Pompompurin preuzima odgovornost za dobivanje 1,4 milijuna Twitter profila za suspendirane račune. Haker je tvrdio da je ovaj dump podataka dobiven pomoću drugog API-ja, iako je privatno podijeljen samo s nekoliko ljudi.
Međutim, drugi su ljudi možda iskoristili ranjivost API-ja. Stručnjak za sigurnost Chad Loder otkrio je da su deseci milijuna podataka korisnika Twittera možda dobiveni korištenjem istog API-ja. Ova kopija podataka očito uključuje osobne telefonske brojeve zajedno s javnim informacijama kao što su imena računa i Twitter ID.
Loder je podijelio redigirani uzorak navedenog skupa podataka na Mastodonu, budući da je zabranjen na Twitteru nedugo nakon što je objavio istu informaciju. Zahvaćeni Twitter računi navodno se nalaze u EU-u i SAD-u, a do provale se očito "nije dogodilo ništa ranije nego 2021." BleepingComputer je doznao da ispis podataka sadrži više od 17 milijuna zapisa, iako nije mogao potvrditi ovaj.
Prema BleepingComputeru, uspio je potvrditi autentičnost procurjelih telefonskih brojeva i otkrio da su to odvojeni zapisi od prethodne riznice podataka. To implicira da je povreda podataka veća nego što se prije mislilo.
Android Central je kontaktirao Twitter za komentar i ažurirat će ovaj članak kada dobijemo odgovor.