Twitter подтвердил наличие уязвимости и утечку личных данных 5,4 млн. своих пользователей

Дата: 05.08.2022. Автор: Артем П. Категории: Новости по информационной безопасности
Twitter подтвердил наличие уязвимости и утечку личных данных 5,4 млн. своих пользователей
Изображение: freestocks (unsplash)

Администрация социальной сети Twitter подтвердила, что недавно обнаруженная утечка данных пользователей была вызвана эксплуатацией уже исправленной уязвимости нулевого дня, которая позволяла сопоставить адреса email и телефонные номера с учетными записями пользователей. Это позволило злоумышленнику выгрузить список личных данных из профилей 5,4 млн. пользователей, сообщает издание Bleeping Computer.

В середине июля этого года журналистам Bleeping Computer удалось поговорить с хакером, который проэксплуатировал уязвимость и получил список телефонных номеров и email-адресов 5,4 млн. пользователей социальной сети. Уточнялось, что выявленная уязвимость позволяла любому человеку проверить адрес электронной почты или номер телефона, являются ли они связанными с какой-либо учетной записью Twitter, а также получить идентификатор аккаунта.

Это позволило злоумышленнику создать отдельные профили 5,4 млн. пользователей Twitter в декабре 2021 года, включая подтвержденные номера телефонов или адреса электронной почты, а также извлечь общедоступную информацию:

  • количество подписчиков;
  • отображаемое имя;
  • имя пользователя;
  • его местоположение;
  • URL-адрес изображения профиля и другие сведения.

После составления списков с личными данными пользователей Twitter хакер продавал базу данных в даркнете по цене 30 000 долларов. Насколько стало известно, двое заинтересованных покупателей приобрели её, но немного ниже первоначальной стоимости.

Сегодня администрация социальной сети Twitter подтвердила, что уязвимость, проэксплуатированная злоумышленником в декабре 2021 года — это та же самая уязвимость, о которой они сообщили и исправили в январе 2022 года в рамках своей программы вознаграждения за обнаружение ошибок на площадке HackerOne.

«Эта ошибка возникла в результате обновления нашего кода в июне 2021 года. Когда мы узнали об этом, мы немедленно изучили и исправили ее. В то время у нас не было доказательств того, что кто-то воспользовался уязвимостью», – уточнили в Twitter.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.