Хакеры могли узнать все ваши секретные страницы в Twitter: как это произошло
Источник:
The VergeВ 2021 году в Twitter обнаружили уязвимость, которую тогда быстро закрыли, объявив, что ею никто не успел воспользоваться. Однако новый отчет свидетельствует, что неизвестные хакеры знали о ней и похитили данные 5,4 миллиона страниц.
Уязвимость в безопасности Twitter, судя по отчету, позволила злоумышленнику узнать имена аккаунтов, связанные с определенными адресами электронной почты и номерами телефонов. Это могло включать и анонимные аккаунты знаменитостей.
Интересно Twitter подал в суд на Илона Маска: говорят, что он уничтожает компанию, чтобы создать конкурента
Что известно
Уязвимость была обнаружена в конце 2021 года. Сообщили о ней первого января 2022 года. Однако, судя по отчету Bleeping Computer, ею воспользовались еще за месяц до того, в декабре, чтобы собрать данные 5,4 миллиона пользователей. Теперь они продаются на хакерском форуме за 30 000 долларов и первые возможные клиенты уже есть.
Привет, сегодня я представляю вам данные, собранные о многих пользователях, использующих Twitter, [собранные] из-за уязвимости. (5 485 636 пользователей, если быть точным). Эти пользователи варьируются от знаменитостей до компаний, случайных пользователей, OGs и прочего,
– говорится в объявлении хакеров, с которыми поговорили журналисты издания.
Исследователи безопасности говорят, что уязвимость позволяла посторонним лицам без аутентификации получить уникальный идентификатор Twitter любого пользователя, отправив номер телефона/электронный адрес, даже если пользователь запретил это действие в настройках конфиденциальности. Имея этот идентификатор, вероятно, собрали все остальные публичные данные. Ошибка скрывалась в процессе авторизации, используемом в Android-клиенте Twitter, в частности в процессе проверки.
В компании, которая закрыла уязвимость через 12 дней после объявления и заявляла, что никто не воспользовался уязвимостью, теперь проанализировали хакерские заявления и подтвердили, что они правдивы. Twitter заявляет, что планирует сообщить пострадавшим пользователям, но не сможет подтвердить каждую потенциально пострадавшую учетную запись. Соцсеть советует всем, кого волнуют их тайные аккаунты, включить двухфакторную аутентификацию, а также прикрепить адрес электронной почты или номер телефона, которые не являются общеизвестными.