Vad du behöver veta
- Twitter drabbades av en ny säkerhetsrisk, som har åtgärdats.
- Sårbarheten gjorde det möjligt för hackare att identifiera vilket konto en e-postadress eller ett telefonnummer är kopplat till.
- Detta avslöjade potentiellt den verkliga identiteten för pseudonyma konton.
En Twitter-bugg lämnade identiteten på miljontals hemliga konton avslöjad genom ett hackerforum, har mikrobloggtjänsten bekräftat och tillade att den sedan har åtgärdat sårbarheten.
Kryphålet gjorde det möjligt för dåliga aktörer att ta reda på om ett telefonnummer eller en e-postadress var kopplat till ett befintligt konto genom att bara skriva in dessa uppgifter i inloggningsflödet.
"Som ett resultat av sårbarheten, om någon skickade en e-postadress eller ett telefonnummer till Twitters system, Twitters system skulle berätta för personen vilket Twitter-konto de inlämnade e-postadresserna eller telefonnumret var kopplade till, om något, säger Twitter i en blogginlägg.
Säkerhetsbristen härrörde från en uppdatering av Twitters kod som introducerades i juni förra året. Twitter fixade problemet efter att ha fått en rapport i januari förra året genom sitt bug-bounty-program. Företaget tillade att det inte hittade "inga bevis som tyder på att någon hade utnyttjat sårbarheten" när det först fick reda på felet.
Felrapporten kom dock för sent eftersom några dåliga skådespelare redan hade utnyttjat felet. Enligt a Pipande dator rapport sålde en hacker en databas med telefonnummer och e-postadresser kopplade till 5,4 miljoner konton via ett hackerforum för $30 000.
"Efter att ha granskat ett urval av tillgänglig data för försäljning bekräftade vi att en dålig aktör hade utnyttjat problemet innan det togs upp", bekräftade Twitter.
Företaget sa inte hur många konton som påverkades, men det sa att intrånget potentiellt påverkade användare med pseudonyma konton. Databasen till salu, enligt Bleeping Computer, innehåller information "om olika konton, inklusive kändisar, företag och slumpmässiga användare."
Twitter kommer att meddela kontoägare som påverkas av denna sårbarhet. För användare med hemliga konton rekommenderar plattformen att "inte lägga till ett allmänt känt telefonnummer eller e-postadress" till sina Twitter-konton för att dölja sin identitet.
Lyckligtvis komprometterades inga lösenord till följd av hacket. Ändå uppmuntrar tjänsten användare att aktivera tvåfaktorsautentisering genom användning av autentiseringsappar eller hårdvarusäkerhetsnycklar.