Kaj morate vedeti
- Twitter je bil prizadet z novo varnostno ranljivostjo, ki je bila odpravljena.
- Ranljivost je hekerjem omogočila ugotoviti, s katerim računom je povezan e-poštni naslov ali telefonska številka.
- To je potencialno razkrilo pravo identiteto psevdonimnih računov.
Zaradi hrošča na Twitterju so prek hekerskega foruma razkrili identiteto milijonov skrivnih računov, je potrdila storitev mikroblogiranja in dodala, da je od takrat odpravila ranljivost.
Vrzel je slabim akterjem omogočila, da ugotovijo, ali je telefonska številka ali e-poštni naslov povezan z obstoječim računom, tako da le vnesejo te podatke v tok prijave.
"Zaradi ranljivosti, če nekdo posreduje e-poštni naslov ali telefonsko številko Twitterjevim sistemom, Twitterjevi sistemi bi osebi povedal, s katerim računom na Twitterju so bili povezani predloženi e-poštni naslovi ali telefonska številka, če sploh,« je dejal Twitter v blog objava.
Varnostna napaka je nastala zaradi posodobitve Twitterjeve kode, uvedene junija lani. Twitter je težavo odpravil, potem ko je januarja lani prejel poročilo prek svojega programa za nagrado za hrošče. Podjetje je dodalo, da ni našlo "nobenih dokazov, ki bi kazali, da je nekdo izkoristil ranljivost", ko je prvič izvedelo za napako.
Vendar je poročilo o napaki prišlo prepozno, ker so nekateri slabi akterji napako že izkoristili. Po mnenju a Bleeping Computer Po poročilu je heker prek hekerskega foruma za 30.000 dolarjev prodal zbirko podatkov s telefonskimi številkami in e-poštnimi naslovi, povezanimi s 5,4 milijoni računov.
"Po pregledu vzorca razpoložljivih podatkov za prodajo smo potrdili, da je slab akter izkoristil težavo, preden je bila obravnavana," je potrdil Twitter.
Podjetje ni povedalo, koliko računov je bilo prizadetih, je pa dejalo, da je kršitev potencialno prizadela uporabnike s psevdonimnimi računi. Podatkovna baza za prodajo po Bleeping Computer vsebuje informacije "o različnih računih, vključno z zvezdniki, podjetji in naključnimi uporabniki."
Twitter bo obvestil lastnike računov, na katere vpliva ta ranljivost. Za uporabnike s skrivnimi računi platforma priporoča, da svojim računom na Twitterju "ne dodajajo javno znane telefonske številke ali e-poštnega naslova", da bi skrili svojo identiteto.
Na srečo zaradi vdora ni bilo ogroženo nobeno geslo. Kljub temu storitev uporabnike spodbuja k omogočite dvostopenjsko avtentikacijo z uporabo aplikacij za preverjanje pristnosti ali varnostnih ključev strojne opreme.