5Aug
Twitter сообщает, что устранил уязвимость в системе безопасности, которую злоумышленники использовали для получения данных учетных записей примерно 5,4 миллиона пользователей, которые были выставлены на продажу на известном хакерском форуме.
Уязвимость позволяла злоумышленнику ввести номер телефона или адрес электронной почты в поток входа в систему в попытаться узнать, была ли эта информация связана с существующей учетной записью Twitter, и если да, то с какой именно учетной записью.
«В январе 2022 года через нашу программу вознаграждения за обнаружение ошибок мы получили отчет об уязвимости в системах Twitter. В результате этой уязвимости, если кто-то отправит адрес электронной почты или номер телефона в системы Twitter, системы сообщали бы человеку, с какой учетной записью Twitter были связаны отправленные адреса электронной почты или номер телефона, если любой. Когда мы узнали об этом, мы немедленно провели расследование и исправили это», — говорится в сообщении Twitter. консультант по безопасности.
Недостаток был обнаружен исследователем безопасности Жириновскийв январе 2022 г. кто был получил 5000 долларов за раскрытие уязвимости.
«Уязвимость позволяет любой стороне без какой-либо аутентификации получить твиттер-идентификатор (что почти равнозначно получению имени пользователя). учетной записи) любого пользователя, отправив номер телефона/адрес электронной почты, даже если пользователь запретил это действие в настройках конфиденциальности. настройки. Ошибка существует из-за процесса авторизации, используемого в Android-клиенте Twitter, в частности, в процессе проверки дублирования учетной записи Twitter.,” читать Отчет.
«Это серьезная угроза, так как люди могут найти не только пользователей, которые ограничили возможность быть найденными по электронной почте/номеру телефона, но и любого злоумышленника с базовым знание сценариев/кодирования может перечислить большую часть пользовательской базы Twitter, недоступную для предварительного перечисления (создайте базу данных с телефоном/электронной почтой для имени пользователя). связи). Такие базы могут быть проданы злоумышленникам в рекламных целях или для выявления знаменитостей в различных злонамеренных действиях».
Согласно Twitter, эта ошибка возникла в результате обновления его кода в июне 2021 года, которое было немедленно обнаружено и исправлено в январе 2022 года. В то время у компании не было доказательств того, что кто-то воспользовался уязвимостью.
Хотя ошибка была исправлена, было уже слишком поздно, так как хакеры уже эксплуатировали уязвимость в течение полугода. окно, то есть с июня 2021 года по январь 2022 года, для создания базы данных адресов электронной почты и телефонных номеров 5,4 миллиона Twitter Счета.
Платформа микроблогов заявила, что из сообщения прессы в июле 2022 года стало известно, что кто-то потенциально воспользовались ошибкой и предлагали продать собранную ими информацию «от знаменитостей до компаний» за $30,000.
«После изучения выборки данных, доступных для продажи, мы подтвердили, что злоумышленник воспользовался проблемой до того, как она была решена», — говорится в сообщении Twitter. «Мы будем напрямую уведомлять владельцев учетных записей, которые, как мы можем подтвердить, были затронуты этой проблемой».
Для тех, кто использует псевдонимную учетную запись Twitter, компания рекомендует пользователям максимально завуалировать свою личность, не добавляя общеизвестный номер телефона или адрес электронной почты в свою учетную запись.
«Мы публикуем это обновление, потому что не можем подтвердить каждую потенциально затронутую учетную запись, и особенно помнить о людях с псевдонимными учетными записями, которые могут стать мишенью для государства или других субъектов», — предупредил Twitter. консультативный.
Платформа микроблогов также призвала всех, кто использует Twitter, включить 2-фактор. аутентификация с помощью приложений аутентификации или аппаратных ключей безопасности для защиты своей учетной записи от несанкционированные входы в систему.
Twitter заявил, что не знает, сколько пользователей Twitter пострадал от взлома, и подчеркнул, что никакие пароли не были раскрыты.
«Мы можем подтвердить, что воздействие было глобальным», — сказал представитель Twitter по электронной почте. «Мы не можем точно определить, сколько учетных записей было затронуто или местонахождение владельцев учетных записей».