Amit tudnod kell
- Egy sebezhetőség, amelyet a Twitter korábban állítása szerint javított, több millió felhasználói adat veszélyeztetéséhez vezethetett.
- A hírek szerint több mint 5,4 millió Twitter-felhasználói rekordot osztottak meg ingyenesen egy hacker fórumon.
- Ugyanez a sérülékenység állítólag egy nagyobb, több tízmillió felhasználói adatot tartalmazó adattárolót is szült.
Egy régi sebezhetőség, amelyet a Twitter állítása szerint az év elején javítottak, továbbra is üldözi a közösséget médiavállalat, és úgy tűnik, hogy sokkal komolyabb biztonsági vonatkozásai vannak, mint mi kezdetben feltételezett.
BleepingComputer beszámol arról, hogy körülbelül 5,4 millió Twitter-felhasználó személyes adatait, akiket egy API sebezhetősége miatt loptak el, szabadon megosztottak egy hacker fórumon. Úgy tűnik, ez ugyanaz az adathalmaz, amelyet egy hacker állítólag augusztusban 30 000 dollárért adott el.
Összefoglalóan a Twitter augusztusban megerősítette az API sebezhetőségét Ez lehetővé tenné a hackerek számára, hogy azonosítsák, melyik fiókhoz volt társítva egy e-mail-cím vagy telefonszám, ami felfedheti az álnevű fiókok valódi kilétét. A cég azonban akkor azt mondta, hogy nem talált bizonyítékot arra, hogy ezt a hibát valaha is kihasználták volna.
Az új BleepingComputer jelentés azt jelzi, hogy nem csak az adatkiíratást kínálják ingyenesen egy hacker fórumon, hanem más ellopott adatok is előkerültek ugyanabból a sebezhetőségből. A Pompompurin, amely a Breached néven ismert hackerfórum tulajdonosa, elmondta a BleepingComputernek, hogy a hiba kihasználása után hozták létre az adattárolót. Azt is elismerték, hogy a sérülékenységet eredetileg egy másik "ördög" néven ismert hackertől szerezték be.
Az 5,4 millió felhasználói rekordon kívül a Pompompurin vállalja a felelősséget 1,4 millió felfüggesztett fiókokhoz tartozó Twitter-profil megszerzéséért. A hacker azt állította, hogy ezt az adatkiírást egy másik API segítségével szerezték be, bár csak néhány emberrel osztották meg privát módon.
Mások azonban kihasználhatták az API sebezhetőségét. Chad Loder biztonsági szakértő felfedte, hogy több tízmillió Twitter felhasználói adatot szerezhettek be ugyanazon API segítségével. Ez az adatgyűjtemény nyilvánvalóan személyes telefonszámokat tartalmaz, valamint nyilvános információkat, például fiókneveket és Twitter-azonosítót.
Loder megosztotta az említett adatkészlet egy redukált mintáját a Mastodonon, mivel röviddel ugyanezen információk közzététele után kitiltották a Twitteren. Az érintett Twitter-fiókok állítólag az EU-ban és az Egyesült Államokban találhatók, és a jogsértés nyilvánvalóan „nem korábban történt mint 2021." A BleepingComputer megtudta, hogy az adatkiírás több mint 17 millió rekordot tartalmazott, bár nem tudta megerősíteni ez.
A BleepingComputer szerint sikerült ellenőrizni a kiszivárgott telefonszámok hitelességét, és felfedezték, hogy ezek külön rekordok a korábbi adatkincstől. Ez azt jelenti, hogy az adatszivárgás nagyobb, mint azt korábban gondolták.
Az Android Central felvette a kapcsolatot a Twitterrel megjegyzésért, és frissíteni fogja ezt a cikket, ha visszajelzést kapunk.