Hva du trenger å vite
- Twitter ble rammet av en ny sikkerhetssårbarhet, som er rettet.
- Sårbarheten gjorde det mulig for hackere å identifisere hvilken konto en e-postadresse eller telefonnummer er knyttet til.
- Dette avslørte potensielt den virkelige identiteten til pseudonyme kontoer.
En Twitter-feil etterlot identiteten til millioner av hemmelige kontoer avslørt gjennom et hackerforum, har mikrobloggtjenesten bekreftet, og legger til at den siden har fikset sårbarheten.
Smutthullet gjorde det mulig for dårlige aktører å finne ut om et telefonnummer eller en e-postadresse var knyttet til en eksisterende konto ved å bare legge inn disse opplysningene i innloggingsflyten.
"Som et resultat av sårbarheten, hvis noen sendte inn en e-postadresse eller telefonnummer til Twitters systemer, vil Twitters systemer ville fortelle personen hvilken Twitter-konto de innsendte e-postadressene eller telefonnummeret var knyttet til, hvis noen, sa Twitter i en blogg innlegg.
Sikkerhetsfeilen stammet fra en oppdatering av Twitters kode introdusert i juni i fjor. Twitter løste problemet etter å ha mottatt en rapport i januar i fjor gjennom sitt bug bounty-program. Selskapet la til at det fant "ingen bevis som tyder på at noen hadde utnyttet sårbarheten" da det først fikk vite om feilen.
Feilrapporten kom imidlertid for sent fordi noen dårlige skuespillere allerede hadde utnyttet feilen. I følge a Blødende datamaskin rapport solgte en hacker en database som inneholder telefonnumre og e-postadresser knyttet til 5,4 millioner kontoer via et hackerforum for $30.000.
«Etter å ha gjennomgått et utvalg av tilgjengelige data for salg, bekreftet vi at en dårlig aktør hadde utnyttet problemet før det ble tatt opp», bekreftet Twitter.
Selskapet sa ikke hvor mange kontoer som ble berørt, men det sa at bruddet potensielt påvirket brukere med pseudonyme kontoer. Databasen for salg, ifølge Bleeping Computer, inneholder informasjon «om ulike kontoer, inkludert kjendiser, selskaper og tilfeldige brukere».
Twitter vil varsle kontoeiere som er berørt av dette sikkerhetsproblemet. For brukere med hemmelige kontoer anbefaler plattformen "ikke å legge til et offentlig kjent telefonnummer eller e-postadresse" til Twitter-kontoene deres for å skjule identiteten deres.
Heldigvis ble ingen passord kompromittert som følge av hacket. Ikke desto mindre oppfordrer tjenesten brukere til det aktivere tofaktorautentisering gjennom bruk av autentiseringsapper eller maskinvaresikkerhetsnøkler.