Kas jums jāzina
- Ievainojamība, ko Twitter iepriekš apgalvoja, ka ir novērsusi, iespējams, izraisīja miljoniem lietotāju datu apdraudējumu.
- Tiek ziņots, ka uzlaušanas forumā bez maksas ir kopīgoti vairāk nekā 5,4 miljoni Twitter lietotāju ierakstu.
- Tiek uzskatīts, ka šī pati ievainojamība ir radījusi lielāku datu izgāztuvi, kas satur "desmitiem miljonu" lietotāju datu.
Vecā ievainojamība, par kuru Twitter apgalvoja, ka šī gada sākumā tika novērsta, turpina vajāt sociālos tīklus plašsaziņas līdzekļu uzņēmums, un šķiet, ka tam ir daudz nopietnākas drošības sekas nekā mēs sākotnēji aizdomas.
BleepingComputer ziņo, ka aptuveni 5,4 miljonu Twitter lietotāju personiskā informācija, kas nozagta API ievainojamības dēļ, ir brīvi kopīgota hakeru forumā. Šķiet, ka šī ir tā pati datu izgāztuve, ko kāds hakeris it kā augustā pārdeva par 30 000 USD.
Kā kopsavilkums, Twitter augustā apstiprināja API ievainojamības esamību kas ļautu hakeriem noteikt, ar kuru kontu ir saistīta e-pasta adrese vai tālruņa numurs, tādējādi, iespējams, atklājot pseidonīmu kontu īsto identitāti. Tomēr uzņēmums toreiz paziņoja, ka nav atradis pierādījumus, ka šis trūkums jebkad būtu izmantots.
Jaunajā BleepingComputer ziņojumā norādīts, ka hakeru forumā bez maksas tiek piedāvāta ne tikai datu izgāztuve, bet arī citas nozagtu datu kopas, kas radušās no tās pašas ievainojamības. Pompompurin, kam pieder uzlaušanas forums, kas pazīstams kā Breached, pastāstīja BleepingComputer, ka viņi izveidoja datu izgāztuvi pēc kļūdas izmantošanas. Viņi arī atzina, ka ievainojamība sākotnēji tika iegūta no cita hakera, kas pazīstams ar nosaukumu "Velns".
Papildus 5,4 miljoniem lietotāju ierakstu Pompompurin uzņemas atbildību par 1,4 miljonu Twitter profilu iegūšanu apturētajiem kontiem. Hakeris apgalvoja, ka šī datu izgāztuve tika iegūta, izmantojot citu API, lai gan tā tika kopīgota tikai privāti ar dažiem cilvēkiem.
Tomēr citi cilvēki, iespējams, ir izmantojuši API ievainojamību. Drošības eksperts Čads Loders atklājis, ka, iespējams, ir iegūti desmitiem miljonu Twitter lietotāju datu, izmantojot vienu un to pašu API. Acīmredzot šajā datu izgāznē ir iekļauti personīgie tālruņu numuri, kā arī publiska informācija, piemēram, kontu nosaukumi un Twitter ID.
Loders Mastodon dalījās ar rediģētu minētās datu kopas paraugu, jo viņš tika aizliegts vietnē Twitter neilgi pēc tās pašas informācijas publicēšanas. Tiek ziņots, ka ietekmētie Twitter konti atrodas ES un ASV, un pārkāpums acīmredzot "notika ne agrāk nekā 2021." BleepingComputer uzzināja, ka datu izgāztuvē bija vairāk nekā 17 miljoni ierakstu, lai gan tas nevarēja apstiprināt šis.
Saskaņā ar BleepingComputer teikto, tas varēja apstiprināt nopludināto tālruņu numuru autentiskumu un atklāja, ka tie ir atsevišķi ieraksti no iepriekšējās datu bagātības. Tas nozīmē, ka datu pārkāpums ir lielāks, nekā tika uzskatīts iepriekš.
Android Central ir sazinājies ar Twitter, lai sniegtu komentāru, un atjauninās šo rakstu, kad saņemsim atbildes.