Twitter исправил уязвимость, которая позволяла злоумышленникам собрать данные о 5,4 миллионов аккаунтов и продавать их в даркнете. Ошибка позволяла любому желающему ввести номер телефона или адрес электронной почты известного пользователя, чтобы проверить, связан ли он с существующим аккаунтом в Твиттере, и тем самым установить личность пользователя.
В опубликованном кратком заявлении об ошибке, Twitter заявил, что «если кто-то вводил адрес электронной почты или номер телефона, Twitter сообщал, с каким аккаунтом связана эта почта или телефон (если такой аккаунт зарегистрирован)».
Как была обнаружена ошибка Twitter?
Twitter утверждает, что баг исправили еще в январе, через шесть месяцев после того, как он был впервые обнаружен. Ошибка была найдена багхантером, который получил $6 000 по программе bug bounty.
Уязвимость в системе безопасности, которая была найдена в рамках программы «Twitter bug bounty», представляла опасность для пользователей с приватными учетными записями и, согласно отчету о «bug bounty», могла быть использована для или идентификации большой части базы пользователей Twitter. Баг похож на аналогичный, найденный в конце 2019 года. Тогда багхантер сумел идентифицировать 17 миллионов аккаунтов Twitter и связать их с номерами телефонов.
В течение шести месяцев до исправления бага хакеры использовали уязвимость для создания базы данных с адресами электронной почты и номерами телефонов 5,4 миллиона аккаунтов Twitter.
«Хотя пароли не были скомпрометированы, мы призываем всех, кто пользуется Twitter, включить двухфакторную аутентификацию с помощью приложений для аутентификации или аппаратных ключей безопасности, чтобы защитить свой аккаунт от несанкционированного входа» — советует Twitter.
Twitter заявил, что узнал об эксплуатации уязвимости из сообщения в прессе в июле. На одном из хакерских форумов появилось сообщение от пользователя, утверждающего, что у него есть данные 5.4млн пользователей Twitter, в том числе данные знаменитостей и компаний.
Оценив выборку данных, выставленных на продажу, Twitter сообщил, что злоумышленник воспользовался уязвимостью до того, как она была исправлена. Компания будет напрямую информировать владельцев аккаунтов, которые пострадали от этого инцидента.