Хакер продает данные учетных записей Twitter миллионов пользователей

Злоумышленник использовал уязвимость для создания базы данных телефонных номеров и адресов электронной почты, принадлежащих 5,4 миллионам учетных записей Twitter. Данные взлома теперь выставлены на продажу на хакерском форуме за 30 000 долларов.

Злоумышленник, известный как «Дьявол», заявил на рынке украденных данных, что база данных содержит информацию о различных учетных записях, в том числе о знаменитостях. Сообщение злоумышленника гласит:

«Здравствуйте, сегодня я представляю вам данные, собранные о нескольких пользователях, которые используют Twitter через уязвимость. (5485636 пользователей, если быть точным).

Эти пользователи варьируются от знаменитостей до компаний, случайных людей, OG и т. д.»

Злоумышленник использовал уязвимость для сбора данных в декабре 2021 года. По данным Bleeping Computer, к ним уже обратились заинтересованные покупатели. Это та же самая уязвимость, которая была раскрыта в Twitter через HackerOne 1 января и исправлена ​​13 января.

Уязвимость позволяет любой стороне без какой-либо аутентификации получить твиттер-идентификатор (что почти равносильно получению имени пользователя учетной записи) любого пользователя, отправив номер телефона или адрес электронной почты. Даже если пользователь запретил это действие в настройках конфиденциальности.

Ошибка существует из-за процесса авторизации, используемого в Android-клиенте Twitter, в частности, в процессе проверки дублирования учетной записи Twitter. Twitter еще не подтвердил утечку данных, но они расследуют претензии.