Hva du trenger å vite
- En sårbarhet som Twitter tidligere hevdet å ha rettet kan ha resultert i kompromittering av millioner av brukerdata.
- Over 5,4 millioner Twitter-brukerposter har angivelig blitt delt gratis på et hackingforum.
- Den samme sårbarheten skal også ha skapt en større datadump som inneholder «titalls millioner» brukerdata.
En gammel sårbarhet som Twitter hevdet ble fikset tidligere i år fortsetter å hjemsøke det sosiale medieselskap, og det ser ut til å ha langt mer alvorlige sikkerhetsimplikasjoner enn vi i utgangspunktet mistenkt.
BleepingComputer rapporterer at personlig informasjon om omtrent 5,4 millioner Twitter-brukere stjålet som følge av en API-sårbarhet har blitt delt fritt på et hackerforum. Dette ser ut til å være den samme datadumpen som en hacker angivelig solgte i august for 30 000 dollar.
Som en oppsummering, Twitter bekreftet i august eksistensen av et API-sårbarhet som ville gjøre det mulig for hackere å identifisere hvilken konto en e-postadresse eller telefonnummer var knyttet til, og potensielt avsløre den virkelige identiteten til pseudonyme kontoer. Imidlertid sa selskapet da at det ikke fant bevis for at denne feilen noen gang ble utnyttet.
Den nye BleepingComputer-rapporten indikerer at ikke bare denne datadumpen tilbys gratis på et hackerforum, men andre sett med stjålne data har også dukket opp fra den samme sårbarheten. Pompompurin, som eier hackingforumet kjent som Breached, fortalte BleepingComputer at de opprettet datadumpen etter å ha utnyttet feilen. De innrømmet også at sårbarheten opprinnelig ble hentet fra en annen hacker kjent som «Devil».
I tillegg til de 5,4 millioner brukerpostene, tar Pompompurin på seg ansvaret for å skaffe 1,4 millioner Twitter-profiler for suspenderte kontoer. Hackeren hevdet at denne datadumpen ble oppnådd ved hjelp av en annen API, selv om den bare ble delt privat med noen få personer.
Imidlertid kan andre ha utnyttet API-sårbarheten. Sikkerhetsekspert Chad Loder har avslørt at titalls millioner av Twitter-brukerdata kan ha blitt innhentet ved hjelp av samme API. Denne datadumpen inkluderer tilsynelatende personlige telefonnumre sammen med offentlig informasjon som kontonavn og Twitter-ID.
Loder delte et redigert utvalg av nevnte datasett på Mastodon, da han ble utestengt på Twitter kort tid etter å ha lagt ut den samme informasjonen. De berørte Twitter-kontoene sies å være basert i EU og USA, og bruddet har tilsynelatende "ikke skjedd tidligere enn 2021." BleepingComputer fikk vite at datadumpen inneholdt mer enn 17 millioner poster, selv om den ikke kunne bekrefte dette.
Ifølge BleepingComputer var den i stand til å validere ektheten til de lekke telefonnumrene og oppdaget at disse var separate poster fra den forrige skattekisten av data. Dette innebærer at datainnbruddet er større enn tidligere antatt.
Android Central har kontaktet Twitter for kommentarer og vil oppdatere denne artikkelen når vi hører tilbake.