Данные более пяти миллионов пользователей Twitter оказались в открытом доступе

30 ноября 2022, 13:01
Читати новину українською
Автор: Александр Гайдамашко

Источник:

Bleeping Computer

Неизвестный хакер воспользовался уязвимостью в Twitter и смог получить доступ к информации миллионов пользователей соцсети. Теперь все эти данные бесплатно доступны на одном из преступных форумов.

Эти данные включают в себя как общедоступную информацию, так и номера телефонов с email-адресами, которые не должны были попасть в открытый доступ. Саму уязвимость, приведшую к утечке, уже исправили. Она позволяла любому, без какой-либо аутентификации, узнать уникальный Twitter ID (что почти равнозначно получению имени пользователя учетной записи) через номер телефона/адрес электронной почты, даже если пользователь запретил это действие в настройках конфиденциальности.

Как защитить свой смартфон от слежки и вирусов: 3 совета о кибербезопасности

Что известно

Об утечке было известно еще в августе прошлого года. Первоначально хакер предлагал архив с собранными данными за 30 000 долларов (сообщается о двух покупателях, которые, однако, заплатили меньше этой суммы), но уже тогда эксперты предупреждали, что данные, скорее всего, впоследствии будут публиковаться бесплатно. Прогнозы сбылись.

  • Владелец хакерского форума Breached, известный под ником Pompompurin, сообщил журналистам, что он несет ответственность за эксплуатацию бага и создание огромного дампа данных пользователей.
  • Кроме того, он подтвердил, что это те же данные, которые продавались в августе и содержат детали профилей 5 485 635 пользователей Twitter.
  • Выяснилось также, что помимо этого архива на продажу была выставлена ​​информация о еще 1,4 миллионах заблокированных в Twitter пользователях, собранная с использованием другого API.
  • В результате общее количество пострадавших аккаунтов Twitter, содержащих личную информацию, уже приближается к 7 миллионам.
  • Pompompurin говорит, что второй дамп не продавался открыто, а был передан нескольким людям частно.

Редакция издания Bleeping Computer изучила образец данных, содержащий 1377132 телефонных номера пользователей из Франции. Журналисты подтвердили, что телефонные номера действительны .

Все может быть еще хуже

Bleeping Computer предупреждает, что с помощью упомянутой уязвимости, похоже, был создан еще один даже больший дамп данных. Он может содержать информацию о десятках миллионов профилей Twitter, включая номера телефонов (собранных с помощью той же ошибки API) и общедоступную информацию: подтвержденный статус, имена учетных записей, Twitter ID, биографию и отображаемое имя.

Pompompurin заявил, что не знает, кто создал этот новый дамп, а это значит, что упомянутую уязвимость в API использовали и другие злоумышленники.