Обновление: Twitter довольно поздно подтвердил, что хакеру удалось раскрыть данные учетной записи, хотя компания не прокомментировала число 5,4 млн. Смотрите заявление в конце статьи.
Утечка данных Twitter позволила злоумышленнику получить доступ к контактным данным 5,4 млн учетных записей. Twitter подтвердил наличие уязвимости в системе безопасности, которая позволила извлечь данные.
Данные, которые связывают дескрипторы Twitter с телефонными номерами и адресами электронной почты, были выставлены на продажу на хакерском форуме за 30 000 долларов…
Restore Privacy сообщает, что нарушение стало возможным благодаря уязвимости, обнаруженной еще в январе.
Подтвержденная январская уязвимость Twitter была использована злоумышленником для получения данных аккаунтов предположительно 5,4 миллиона пользователей. Хотя Twitter с тех пор исправил уязвимость, база данных, предположительно полученная с помощью этого эксплойта, теперь продается на популярном хакерском форуме, опубликованном ранее сегодня.
Еще в январе на HackerOne был сделан отчет об уязвимости, которая позволяет злоумышленнику получить номер телефона и/или адрес электронной почты, связанные с учетными записями Twitter, даже если пользователь скрыл эти поля в настройках конфиденциальности. […]
Злоумышленник теперь продает данные, предположительно полученные с помощью этой уязвимости. Ранее сегодня мы заметили нового пользователя, продающего базу данных Twitter на Breached Forums, известном хакерском форуме, который в начале этого месяца привлек международное внимание из-за утечки данных, в результате которой пострадало более 1 миллиарда жителей Китая.
Пост все еще актуален, а база данных Twitter, предположительно состоящая из 5,4 миллиона пользователей, выставлена на продажу. Продавец на хакерском форуме использует имя пользователя «дьявол» и утверждает, что набор данных включает в себя «знаменитостей, компаниям, рандомам, OG и т. д.».
Владелец хакерского форума подтвердил подлинность атаки, и Restore Privacy также сообщает, что два образца базы данных проверяются.
Мы скачали образец базы данных для проверки и анализа. Сюда входят люди со всего мира с общедоступной информацией профиля, а также электронной почтой или номером телефона пользователя Twitter, используемым с учетной записью.
Все образцы, которые мы рассмотрели, совпадают с реальными людьми, что можно легко проверить с помощью общедоступных профилей в Твиттере.
Сайт конфиденциальности связался с продавцом, и ему сказали, что цена базы данных составляет 30 000 долларов.
HackerOne закрыла уязвимость еще в январе, которая позволяла любому ввести номер телефона или адрес электронной почты, а затем найти соответствующий twitterID. Это внутренний идентификатор, используемый Twitter, но его можно легко преобразовать в дескриптор Twitter.
Это серьезная угроза, так как люди могут не только найти пользователей, которые ограничили возможность быть найденными по электронной почте/номеру телефона, но и любой злоумышленник с базовыми знаниями в написании сценариев/кодировании может перебрать большую часть пользовательской базы Twitter, недоступную для предварительное перечисление (создайте базу данных с подключением телефона/электронной почты к имени пользователя). Такие базы могут быть проданы злоумышленникам в рекламных целях или для выявления знаменитостей в различных злонамеренных действиях.
Также интересная функция, которую я обнаружил, заключается в том, что вы даже можете найти идентификаторы приостановленных учетных записей Twitter, используя этот метод.
Вполне вероятно, что злоумышленник получил существующие базы данных телефонных номеров и адресов электронной почты, полученные при взломе других сервисов, а затем использовал эти данные для поиска соответствующих идентификаторов Twitter.
Пока нет способа проверить, включена ли ваша учетная запись в утечку данных Twitter. Как всегда, стоит проявлять бдительность в отношении фишинговых атак — электронных писем, якобы отправленных Apple, вашим банком, PayPal, провайдером электронной почты и т. д., которые просят вас войти в свою учетную запись.
Распространенной тактикой фишинга является сообщение о том, что ваша учетная запись может быть удалена, или отправка поддельного чека на покупку на большую сумму вместе со ссылкой для оспаривания платежа.
Основная мера безопасности здесь — никогда не нажимать на ссылки, отправленные в электронных письмах. Всегда используйте собственные закладки или вводите известный URL-адрес.
Обновление: Twitter теперь подтверждает нарушение
Twitter ранее подтвердил наличие уязвимости, но не прокомментировал факт ее эксплуатации. Компания сейчас сделал таки пообещал связаться с пострадавшими пользователями.
Эта ошибка возникла в результате обновления нашего кода в июне 2021 года. Когда мы узнали об этом, мы немедленно исследовали и исправили ее. В то время у нас не было доказательств того, что кто-то воспользовался уязвимостью.
В июле 2022 года мы узнали из сообщения в прессе, что кто-то потенциально использовал это и предлагал продать собранную ими информацию. Изучив выборку данных, доступных для продажи, мы подтвердили, что злоумышленник воспользовался проблемой до того, как она была решена.
Мы будем напрямую уведомлять владельцев учетных записей, которые, как мы можем подтвердить, были затронуты этой проблемой.
