Что тебе нужно знать
- Уязвимость, которую Twitter ранее заявлял об устранении, могла привести к компрометации миллионов пользовательских данных.
- Сообщается, что более 5,4 миллиона записей пользователей Twitter были бесплатно размещены на хакерском форуме.
- Сообщается, что та же уязвимость породила более крупный дамп данных, содержащий «десятки миллионов» пользовательских данных.
Старая уязвимость, которая, по утверждению Twitter, была устранена ранее в этом году, продолжает преследовать социальные сети. медиа-компания, и, похоже, это имеет гораздо более серьезные последствия для безопасности, чем мы изначально подозревается.
BleepingКомпьютер сообщает, что личная информация примерно 5,4 миллиона пользователей Twitter, украденная в результате уязвимости API, была свободно размещена на хакерском форуме. Похоже, это тот же дамп данных, который хакер предположительно продал в августе за 30 000 долларов.
Вкратце, Твиттер подтвердил в августе наличие уязвимости API это позволило бы хакерам определить, с какой учетной записью был связан адрес электронной почты или номер телефона, потенциально раскрывая реальную личность псевдонимных учетных записей. Однако тогда компания заявила, что не нашла доказательств того, что эта уязвимость когда-либо использовалась.
В новом отчете BleepingComputer указывается, что не только этот дамп данных предлагается на хакерском форуме бесплатно, но и другие наборы украденных данных также появляются из-за той же уязвимости. Pompompurin, владеющий хакерским форумом, известным как Breached, сообщил BleepingComputer, что они создали дамп данных после использования ошибки. Они также признали, что уязвимость изначально была получена от другого хакера, известного как «Дьявол».
В дополнение к 5,4 миллионам пользовательских записей Помпомпурин берет на себя ответственность за получение 1,4 миллиона профилей Twitter для заблокированных учетных записей. Хакер утверждал, что этот дамп данных был получен с использованием другого API, хотя он был передан в частном порядке лишь нескольким людям.
Однако уязвимостью API могли воспользоваться другие люди. Эксперт по безопасности Чад Лодер сообщил, что десятки миллионов пользовательских данных Twitter могли быть получены с использованием одного и того же API. Этот дамп данных, по-видимому, включает личные номера телефонов, а также общедоступную информацию, такую как имена учетных записей и идентификатор Twitter.
Лодер поделился отредактированным образцом указанного набора данных на Mastodon, так как он был забанен в Твиттере вскоре после публикации той же информации. Сообщается, что затронутые учетные записи Twitter базируются в ЕС и США, и нарушение, по-видимому, «произошло не ранее». чем в 2021 году». BleepingComputer узнал, что дамп данных содержал более 17 миллионов записей, хотя и не смог подтвердить этот.
Согласно BleepingComputer, компания смогла проверить подлинность утекших телефонных номеров и обнаружила, что это были отдельные записи из предыдущей сокровищницы данных. Это означает, что утечка данных больше, чем предполагалось ранее.
Android Central связался с Twitter для комментариев и обновит эту статью, когда мы получим ответ.