Ne bilmek istiyorsun
- Twitter, düzeltilen yeni bir güvenlik açığı ile vuruldu.
- Güvenlik açığı, bilgisayar korsanlarının bir e-posta adresinin veya telefon numarasının hangi hesapla ilişkili olduğunu belirlemesine olanak sağladı.
- Bu, potansiyel olarak takma adlı hesapların gerçek kimliğini ortaya çıkardı.
Mikroblog hizmeti, bir Twitter hatasının bir bilgisayar korsanı forumu aracılığıyla milyonlarca gizli hesabın kimliğini açığa çıkardığını doğruladı ve o zamandan beri güvenlik açığını giderdiğini de sözlerine ekledi.
Kaçak, kötü aktörlerin bir telefon numarasının veya e-posta adresinin mevcut bir hesapla ilişkili olup olmadığını, bu bilgileri oturum açma akışına girerek öğrenmesini sağladı.
"Güvenlik açığı sonucunda, birisi Twitter sistemlerine bir e-posta adresi veya telefon numarası girerse, Twitter sistemleri Twitter, kişiye gönderilen e-posta adreslerinin veya telefon numarasının hangi Twitter hesabıyla ilişkili olduğunu söyleyecektir" dedi. içinde Blog yazısı.
Güvenlik açığı, Twitter'ın geçen yılın Haziran ayında tanıttığı kod güncellemesinden kaynaklandı. Twitter, hata ödül programı aracılığıyla geçen Ocak ayında bir rapor aldıktan sonra sorunu düzeltti. Şirket, hatayı ilk öğrendiğinde "birinin bu güvenlik açığından yararlandığına dair hiçbir kanıt bulamadığını" da sözlerine ekledi.
Ancak hata raporu çok geç geldi çünkü bazı kötü oyuncular zaten kusurdan yararlanmıştı. göre bir Uyku Bilgisayarı Raporda, bir bilgisayar korsanı, bir bilgisayar korsanı forumu aracılığıyla 5.4 milyon hesaba bağlı telefon numaraları ve e-posta adreslerini içeren bir veritabanını 30.000 dolara sattı.
Twitter, "Satış için mevcut verilerin bir örneğini inceledikten sonra, kötü bir kişinin sorun çözülmeden önce sorundan yararlandığını doğruladık."
Şirket, kaç hesabın etkilendiğini söylemedi, ancak ihlalin potansiyel olarak takma hesaplara sahip kullanıcıları etkilediğini söyledi. Bleeping Computer'a göre satılık veritabanı "ünlüler, şirketler ve rastgele kullanıcılar dahil olmak üzere çeşitli hesaplar hakkında" bilgiler içeriyor.
Twitter, bu güvenlik açığından etkilenen hesap sahiplerini bilgilendirecektir. Gizli hesapları olan kullanıcılar için platform, kimliklerini gizlemek için Twitter hesaplarına "herkes tarafından bilinen bir telefon numarası veya e-posta adresi eklememelerini" önerir.
Neyse ki, saldırı sonucunda hiçbir şifrenin güvenliği ihlal edilmedi. Bununla birlikte, hizmet, kullanıcıları iki faktörlü kimlik doğrulamayı etkinleştir kimlik doğrulama uygulamaları veya donanım güvenlik anahtarları aracılığıyla.