Το Twitter υπέστη παραβίαση δεδομένων αφού κάποιοι χάκερ χρησιμοποίησαν μια ευπάθεια για να δημιουργήσουν μια βάση δεδομένων με αριθμούς τηλεφώνου και διευθύνσεις email που ανήκουν σε 5,4 εκατομμύρια λογαριασμούς, με τα δεδομένα να πωλούνται τώρα σε hacker forum για 30.000 δολάρια.
Δείτε επίσης: Το Twitter καλωσορίζει περισσότερους χρήστες αλλά τα έσοδα δεν αυξάνονται
Χθες, ένας απειλητικός παράγοντας γνωστός ως «Devil» είπε σε μια κλεμμένη αγορά δεδομένων ότι η βάση δεδομένων περιέχει πληροφορίες για διάφορους λογαριασμούς, συμπεριλαμβανομένων διασημοτήτων, εταιρειών και τυχαίων χρηστών.
Σε μια συνομιλία με τον απειλητικό παράγοντα, το BleepingComputer ενημερώθηκε ότι χρησιμοποίησαν μια ευπάθεια για τη συλλογή των δεδομένων τον Δεκέμβριο του 2021. Τώρα πουλά τα δεδομένα για 30.000 $ και ότι οι ενδιαφερόμενοι αγοραστές τους έχουν ήδη προσεγγίσει.
Όπως αναφέρθηκε για πρώτη φορά από το Restore Privacy, η ευπάθεια που χρησιμοποιείται για τη συλλογή των δεδομένων είναι η ίδια που αποκαλύφθηκε στο Twitter μέσω του HackerOne την 1η Ιανουαρίου και διορθώθηκε στις 13 Ιανουαρίου.
Δείτε επίσης: Το Twitter χρησιμοποιεί tweets του Elon Musk εναντίον του στην αγωγή!
«Η ευπάθεια επιτρέπει σε οποιοδήποτε μέρος χωρίς έλεγχο ταυτότητας να αποκτήσει ένα twitter ID οποιουδήποτε χρήστη υποβάλλοντας έναν αριθμό τηλεφώνου/email, παρόλο που ο χρήστης έχει απαγορεύσει αυτήν την ενέργεια στις ρυθμίσεις απορρήτου” αναφέρει η αποκάλυψη ευπάθειας από τον ερευνητή ασφαλείας “zhirinovskiy”.»
“Το σφάλμα υπάρχει λόγω της διαδικασίας εξουσιοδότησης που χρησιμοποιείται στο Android Client του Twitter, συγκεκριμένα κατά τη διαδικασία ελέγχου του duplication ενός λογαριασμού Twitter.”
Ωστόσο, ο απειλητικός παράγοντας Devil είπε στο BleepingComputer ότι δεν συνδέονται με το zhirinovskiy και δεν έχουν χρησιμοποιήσει ποτέ το HackerOne.
Ο χάκερ είπε ότι θα μπορούσατε να τροφοδοτήσετε διευθύνσεις email και αριθμούς τηλεφώνου στην ευπάθεια για να προσδιορίσετε εάν σχετίζεται με έναν λογαριασμό Twitter και να ανακτήσετε το αναγνωριστικό αυτού του λογαριασμού.
Οπλισμένοι με αυτό το αναγνωριστικό Twitter, πιθανότατα έκαναν scrap τα υπόλοιπα δημόσια δεδομένα για να δημιουργήσουν ένα προφίλ χρήστη για τον χρήστη.
Αυτή η ευπάθεια είναι παρόμοια με τον τρόπο με τον οποίο οι απειλητικοί παράγοντες έκαναν scrap τα δεδομένα λογαριασμού Facebook 533 εκατομμυρίων χρηστών το 2021.
Τα δεδομένα που διέρρευσαν επαληθεύτηκαν
Το Twitter δεν έχει επιβεβαιώσει την παραβίαση δεδομένων προς το παρόν, λέγοντας στο BleepingComputer ότι ερευνούν την αυθεντικότητα των ισχυρισμών.
Ωστόσο, το BleepingComputer επαλήθευσε με ορισμένους από τους χρήστες του Twitter που αναφέρονται σε ένα μικρό δείγμα δεδομένων που κοινοποίησε ο χάκερ ότι οι ιδιωτικές πληροφορίες (διευθύνσεις email και αριθμοί τηλεφώνου) είναι ακριβείς.
Δεδομένου ότι μπόρεσαν να επαληθευτούν μόνο λίγοι χρήστες που αναφέρονται στα scraped δεδομένα, είναι αδύνατο να επιβεβαιωθεί εάν και οι 5,4 εκατομμύρια λογαριασμοί που πωλούνται είναι έγκυροι.
Δείτε επίσης: Μπορούν τα δικαστήρια να αναγκάσουν τον Musk να αγοράσει το Twitter;
Παρόλο που τα περισσότερα από τα δεδομένα που πωλούνται είναι δημόσια διαθέσιμα, οι απειλητικοί φορείς μπορούν να χρησιμοποιήσουν τις διευθύνσεις email και τους αριθμούς τηλεφώνου σε στοχευμένες επιθέσεις phishing.
Επομένως, όλοι οι χρήστες του Twitter θα πρέπει να είναι προσεκτικοί όταν λαμβάνουν emails από το Twitter, ειδικά εάν σας ζητούν να εισάγετε login credentials, κάτι που οι χρήστες θα πρέπει να το κάνουν μόνο στο Twitter.com.
Πηγή πληροφοριών: bleepingcomputer.com
