Хакери могли дізнатися про всі ваші секретні сторінки у Twitter: як це сталося
Джерело:
The VergeУ 2021 році в Twitter виявили вразливість, яку тоді швидко закрили, оголосивши, що нею ніхто не встиг скористатися. Однак новий звіт свідчить про те, що невідомі хакери все ж знали про неї та викрали дані 5,4 мільйона сторінок.
Уразливість у безпеці Twitter, судячи зі звіту, дозволила зловмиснику дізнатися імена облікових записів, пов’язані з певними адресами електронної пошти та номерами телефонів. Це могло включати й анонімні облікові записи знаменитостей.
Цікаво Twitter подав до суду на Ілона Маска: кажуть, що він знищує компанію, щоб створити конкурента
Що відомо
Уразливість було виявлено наприкінці 2021 року. Повідомили про неї першого січня 2022 року. Однак, судячи зі звіту Bleeping Computer, нею скористалися ще за місяць до того, в грудні, щоб зібрати дані 5,4 мільйона користувачів. Тепер вони продаються на хакерському форумі за 30 000 доларів і перші ймовірні клієнти вже є.
Привіт, сьогодні я представляю вам дані, зібрані про багатьох користувачів, які використовують Twitter, [зібрані] через уразливість. (5 485 636 користувачів, якщо бути точним). Ці користувачі варіюються від знаменитостей до компаній, випадкових користувачів, OGs тощо,
– йдеться в оголошенні хакерів, з якими поговорили журналісти видання.
Дослідники з безпеки кажуть, що уразливість дозволяла стороннім особам без жодної автентифікації отримати унікальний ідентифікатор Twitter будь-якого користувача, надіславши номер телефону/електронну адресу, навіть якщо користувач заборонив цю дію в налаштуваннях конфіденційності. Маючи цей ідентифікатор, імовірно, зібрали решту публічних даних. Помилка ховалася в процесі авторизації, який використовується в Android-клієнті Twitter, зокрема в процесі перевірки.
У компанії, яка закрила вразливість через 12 днів після оголошення й заявляла, що ніхто не скористався вразливістю, тепер проаналізували заяви хакерів та підтвердили, що вони правдиві. Twitter заявляє, що планує повідомити постраждалих користувачів, але не зможе підтвердити кожен обліковий запис, який потенційно постраждав. Соцмережа радить усім, кого хвилюють їхні таємні облікові записи, увімкнути двофакторну автентифікацію, а також прикріпити адресу електронної пошти чи номер телефону, які не є загальновідомими.