Cosa hai bisogno di sapere
- Una vulnerabilità che Twitter in precedenza affermava di aver risolto potrebbe aver portato alla compromissione di milioni di dati degli utenti.
- Secondo quanto riferito, oltre 5,4 milioni di record di utenti di Twitter sono stati condivisi gratuitamente su un forum di hacking.
- Si dice anche che la stessa vulnerabilità abbia generato un dump di dati più grande contenente "decine di milioni" di dati degli utenti.
Una vecchia vulnerabilità che Twitter ha affermato di essere stata risolta all'inizio di quest'anno continua a perseguitare il social società di media, e sembra avere implicazioni sulla sicurezza molto più gravi di quanto inizialmente sospettato.
BleepingComputer riporta che le informazioni personali di circa 5,4 milioni di utenti Twitter rubate a causa di una vulnerabilità API sono state condivise liberamente su un forum di hacker. Questo sembra essere lo stesso dump di dati che un hacker avrebbe venduto ad agosto per $ 30.000.
Ricapitolando, Twitter confermato ad agosto l'esistenza di una vulnerabilità API
ciò consentirebbe agli hacker di identificare a quale account è stato associato un indirizzo e-mail o un numero di telefono, esponendo potenzialmente la vera identità di account pseudonimi. Tuttavia, la società ha affermato di non aver trovato alcuna prova che questo difetto sia mai stato sfruttato.Il nuovo rapporto BleepingComputer indica che non solo quel dump di dati è offerto gratuitamente su un forum di hacker, ma anche altri set di dati rubati sono emersi dalla stessa vulnerabilità. Pompompurin, che possiede il forum di hacking noto come Breached, ha dichiarato a BleepingComputer di aver creato il dump dei dati dopo aver sfruttato il bug. Hanno anche ammesso che la vulnerabilità era stata originariamente ottenuta da un altro hacker noto come "Devil".
Oltre ai 5,4 milioni di record utente, Pompompurin rivendica la responsabilità di ottenere 1,4 milioni di profili Twitter per account sospesi. L'hacker ha affermato che questo dump di dati è stato ottenuto utilizzando un'altra API, sebbene sia stato condiviso solo in privato con poche persone.
Tuttavia, altre persone potrebbero aver sfruttato la vulnerabilità dell'API. L'esperto di sicurezza Chad Loder ha rivelato che decine di milioni di dati degli utenti di Twitter potrebbero essere stati ottenuti utilizzando la stessa API. Questo dump di dati apparentemente include numeri di telefono personali insieme a informazioni pubbliche come nomi di account e ID di Twitter.
Loder ha condiviso un campione redatto di detto set di dati su Mastodon, poiché è stato bannato su Twitter poco dopo aver pubblicato le stesse informazioni. Si dice che gli account Twitter interessati abbiano sede nell'UE e negli Stati Uniti e la violazione apparentemente "si è verificata non prima rispetto al 2021." BleepingComputer ha appreso che il dump di dati conteneva più di 17 milioni di record, anche se non ha potuto confermare Questo.
Secondo BleepingComputer, è stato in grado di convalidare l'autenticità dei numeri di telefono trapelati e ha scoperto che si trattava di record separati dal precedente tesoro di dati. Ciò implica che la violazione dei dati è più ampia di quanto si pensasse in precedenza.
Android Central ha contattato Twitter per un commento e aggiornerà questo articolo quando avremo notizie.