Данные более пяти миллионов пользователей Twitter оказались в открытом доступе

Александр Гайдамашко

Источник:

Bleeping Computer

Хакеры слили данные почти 5,5 миллиона пользователей Twitter в сеть бесплатно - Техно

Twitter / 24 канал

Неизвестный хакер воспользовался уязвимостью в Twitter и смог получить доступ к информации миллионов пользователей соцсети. Теперь все эти данные бесплатно доступны на одном из преступных форумов.

Эти данные включают в себя как общедоступную информацию, так и номера телефонов с email-адресами, которые не должны были попасть в открытый доступ. Саму уязвимость, приведшую к утечке, уже исправили. Она позволяла любому, без какой-либо аутентификации, узнать уникальный Twitter ID (что почти равнозначно получению имени пользователя учетной записи) через номер телефона/адрес электронной почты, даже если пользователь запретил это действие в настройках конфиденциальности.

Как защитить свой смартфон от слежки и вирусов: 3 совета о кибербезопасности

Что известно

Об утечке было известно еще в августе прошлого года. Первоначально хакер предлагал архив с собранными данными за 30 000 долларов (сообщается о двух покупателях, которые, однако, заплатили меньше этой суммы), но уже тогда эксперты предупреждали, что данные, скорее всего, впоследствии будут публиковаться бесплатно. Прогнозы сбылись.

Владелец хакерского форума Breached, известный под ником Pompompurin, сообщил журналистам, что он несет ответственность за эксплуатацию бага и создание огромного дампа данных пользователей.
Кроме того, он подтвердил, что это те же данные, которые продавались в августе и содержат детали профилей 5 485 635 пользователей Twitter.
Выяснилось также, что помимо этого архива на продажу была выставлена информация о еще 1,4 миллионах заблокированных в Twitter пользователях, собранная с использованием другого API.
В результате общее количество пострадавших аккаунтов Twitter, содержащих личную информацию, уже приближается к 7 миллионам.
Pompompurin говорит, что второй дамп не продавался открыто, а был передан нескольким людям частно.

Редакция издания Bleeping Computer изучила образец данных, содержащий 1377132 телефонных номера пользователей из Франции. Журналисты подтвердили, что телефонные номера действительны .

Все может быть еще хуже

Bleeping Computer предупреждает, что с помощью упомянутой уязвимости, похоже, был создан еще один даже больший дамп данных. Он может содержать информацию о десятках миллионов профилей Twitter, включая номера телефонов (собранных с помощью той же ошибки API) и общедоступную информацию: подтвержденный статус, имена учетных записей, Twitter ID, биографию и отображаемое имя.

Pompompurin заявил, что не знает, кто создал этот новый дамп, а это значит, что упомянутую уязвимость в API использовали и другие злоумышленники.