В недавнем сообщении в блоге Twitter компания сообщила об уязвимости, которая позволяла любому ввести номер телефона или адрес электронной почты в логин и узнать, есть ли идентификатор Twitter, подключенный к этим учетным данным. Судя по всему, эта уязвимость позволила некоторым кибер-злоумышленникам узнать об идентификаторах Twitter миллионов пользователей и выставить соответствующую информацию на продажу на форумах взлома.
База данных 5,4 млн пользователей может быть украдена
Twitter был уведомлен об этой ошибке во время программы вознаграждения за обнаружение ошибок. Пользователь HackerOne по имени «Zhirinovsky» предупредил компанию в январе 2022 года. Ошибка описывается как позволяющая любой стороне без какой-либо проверки получить идентификатор Twitter, отправив только номер телефона или адрес электронной почты. В своем докладе Zhirinovsky заявил;
«Уязвимость позволяет любой стороне без какой-либо аутентификации получить твиттер-идентификатор (что почти равносильно получению имени пользователя учетной записи) любого пользователя, отправив номер телефона / адрес электронной почты, даже если пользователь запретил это действие в настройках конфиденциальности. »
Twitter заявил, что эта уязвимость была вызвана обновлением их кода в июне 2021 года. Компания не упомянула в своем блоге, сколько данных ее пользователей было взломано. Он только заявил, что устранил недостаток сразу после того, как о нем сообщили. В течение этого времени компания не знала, была ли украдена какая-либо информация в результате уязвимости. Но в июле они узнали, что кто-то действительно потенциально воспользовался этим. Автор по имени Дьявол якобы утверждал, что владеет информацией о 5,4 миллионах пользователей, включая знаменитостей, компании и случайных пользователей, и разместил информацию о продаже на взломанных форумах. За базу продавец просил не менее 30 000 долларов.
В ответ Twitter заявил, что будет напрямую уведомлять владельцев учетных записей, затронутых этой ошибкой. Они опубликовали новость, потому что не могут подтвердить, была ли потенциально затронута каждая учетная запись. Компания предлагает пользователям использовать псевдонимную учетную запись, чтобы максимально завуалировать свою личность и не добавлять общеизвестный номер телефона или адрес электронной почты в свою учетную запись Twitter.