Vad du behöver veta
- En sårbarhet som Twitter tidigare påstått sig ha åtgärdat kan ha resulterat i att miljontals användardata har kompromissat.
- Över 5,4 miljoner Twitter-användaruppgifter har enligt uppgift delats gratis på ett hackingforum.
- Samma sårbarhet sägs också ha skapat en större datadump innehållande "tiotals miljoner" användardata.
En gammal sårbarhet som Twitter hävdade fixades tidigare i år fortsätter att förfölja det sociala medieföretag, och det verkar ha mycket allvarligare säkerhetskonsekvenser än vi från början misstänkt.
Bleeping Computer rapporterar att personlig information om cirka 5,4 miljoner Twitter-användare som stulits till följd av en API-sårbarhet har delats fritt på ett hackerforum. Detta verkar vara samma datadump som en hackare påstås sålde i augusti för 30 000 dollar.
Som en sammanfattning, Twitter bekräftade i augusti förekomsten av en API-sårbarhet som skulle göra det möjligt för hackare att identifiera vilket konto en e-postadress eller ett telefonnummer var kopplat till, vilket skulle kunna avslöja den verkliga identiteten för pseudonyma konton. Men företaget sa då att det inte hittade några bevis för att denna brist någonsin utnyttjats.
Den nya BleepingComputer-rapporten indikerar att inte bara denna datadump erbjuds gratis på ett hackerforum, utan även andra uppsättningar stulna data har uppstått ur samma sårbarhet. Pompompurin, som äger hackingforumet som kallas Breached, sa till BleepingComputer att de skapade datadumpen efter att ha utnyttjat buggen. De medgav också att sårbarheten ursprungligen erhölls från en annan hacker känd som "Devil".
Utöver de 5,4 miljoner användaruppgifterna tar Pompompurin på sig ansvaret för att skaffa 1,4 miljoner Twitter-profiler för avstängda konton. Hackaren hävdade att denna datadump erhölls med ett annat API, även om det bara delades privat med ett fåtal personer.
Andra personer kan dock ha utnyttjat API-sårbarheten. Säkerhetsexperten Chad Loder har avslöjat att tiotals miljoner Twitter-användardata kan ha erhållits med samma API. Denna datadump innehåller tydligen personliga telefonnummer tillsammans med offentlig information som kontonamn och Twitter-ID.
Loder delade ett redigerat urval av nämnda dataset på Mastodon, eftersom han förbjöds på Twitter kort efter att ha publicerat samma information. De drabbade Twitter-kontona sägs vara baserade i EU och USA, och intrånget uppenbarligen "uppstod inte tidigare än 2021." BleepingComputer fick reda på att datadumpen innehöll mer än 17 miljoner poster, även om den inte kunde bekräfta detta.
Enligt BleepingComputer kunde den validera äktheten av de läckta telefonnumren och upptäckte att dessa var separata poster från den tidigare skattkammaren av data. Detta innebär att dataintrånget är större än man tidigare trott.
Android Central har kontaktat Twitter för kommentarer och kommer att uppdatera den här artikeln när vi hör tillbaka.