Податоци кои вклучуваат телефонски броеви и адресите на е-пошта на 5,4 милиони корисници на Твитер се продаваат на хакерски форум за 30.000 долари.
Хакер кој го носи псевдонимот „devil“ откри дека базата на податоци што содржи информации за сметките на корисниците на Твитер, вклучувајќи познати личности, компании и други корисници, се продава на хакерски форум. Тој рече дека податоците се украдени благодарение на ранливоста на Твитер, дека се работи за податоци на точно 5.485.636 корисници.
Тој изјави за BleepingComputer дека податоците се собрани во декември 2021 година и дека веќе има купувачи кои се подготвени да платат 30.000 долари за тоа.
Ранливоста што се користи за собирање на податоците е истата онаа што беше откриена на Twitter преку HackerOne на 1-ви јануари и закрпена на 13-ти јануари.
Како што тогаш објасни истражувачот „zhirinovskiy“ кој ја открил, „ранливоста му овозможува на секој без никаква автентикација да добие ID на Твитер (што е речиси еквивалентно на добивање корисничко име на сметка) на секој корисник со испраќање телефонски број/адреса дури и иако корисникот го забрани ова дејство во поставките за приватност“.
„Грешката постои поради процесот на овластување што се користи во клиентот Андроид на Твитер, особено процесот на проверка за дупликат сметки на Твитер“.
Сепак, хакерот Devil изјави за BleepingComputer дека тие не се поврзани со „zhirinovskiy“ и никогаш не користеле HackerOne.
Оваа ранливост е слична на онаа што им дозволи на хакерите да ги украдат информациите на сметката на 533 милиони корисници на Facebook минатата година.
Твитер не го потврди истекувањето на податоците, но компанијата соопшти дека ги проверува тврдењата на хакерот.
„Добивме извештај за овој инцидент пред неколку месеци преку нашата програма за доделување грешки, и веднаш темелно ја истраживме и ја закрпивме ранливоста. Како и секогаш, ние сме посветени на заштита на приватноста и безбедноста на луѓето кои користат Твитер. Благодарни сме на сигурносната заедница за учество во нашата програма за наградување грешки, што ни помага да откриеме потенцијални пропусти како оваа“.
Сепак, BleepingComputer рече дека проверил со некои од корисниците на Твитер наведени во мал примерок од податоците споделени од хакерот и откриле дека протечените информации (адреси на е-пошта и телефонски броеви) се точни. Сепак, невозможно е да се каже дали сите 5,4 милиони продадени нарачки се валидни.
Иако повеќето од продадените податоци се јавно достапни, хакерите можат да користат адреси на е-пошта и телефонски броеви во насочени фишинг напади.
Затоа сите корисници на Твитер треба да бидат внимателни кога добиваат мејлови од Twitter, особено ако бараат информации за најавување.