Администрация социальной сети Twitter подтвердила, что недавно обнаруженная утечка данных пользователей была вызвана эксплуатацией уже исправленной уязвимости нулевого дня, которая позволяла сопоставить адреса email и телефонные номера с учетными записями пользователей. Это позволило злоумышленнику выгрузить список личных данных из профилей 5,4 млн. пользователей, сообщает издание Bleeping Computer.
В середине июля этого года журналистам Bleeping Computer удалось поговорить с хакером, который проэксплуатировал уязвимость и получил список телефонных номеров и email-адресов 5,4 млн. пользователей социальной сети. Уточнялось, что выявленная уязвимость позволяла любому человеку проверить адрес электронной почты или номер телефона, являются ли они связанными с какой-либо учетной записью Twitter, а также получить идентификатор аккаунта.
Это позволило злоумышленнику создать отдельные профили 5,4 млн. пользователей Twitter в декабре 2021 года, включая подтвержденные номера телефонов или адреса электронной почты, а также извлечь общедоступную информацию:
- количество подписчиков;
- отображаемое имя;
- имя пользователя;
- его местоположение;
- URL-адрес изображения профиля и другие сведения.
После составления списков с личными данными пользователей Twitter хакер продавал базу данных в даркнете по цене 30 000 долларов. Насколько стало известно, двое заинтересованных покупателей приобрели её, но немного ниже первоначальной стоимости.
Сегодня администрация социальной сети Twitter подтвердила, что уязвимость, проэксплуатированная злоумышленником в декабре 2021 года — это та же самая уязвимость, о которой они сообщили и исправили в январе 2022 года в рамках своей программы вознаграждения за обнаружение ошибок на площадке HackerOne.
«Эта ошибка возникла в результате обновления нашего кода в июне 2021 года. Когда мы узнали об этом, мы немедленно изучили и исправили ее. В то время у нас не было доказательств того, что кто-то воспользовался уязвимостью», – уточнили в Twitter.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.
