Хакер продав дані облікових записів 5,4 млн користувачів Twitter за 30 тисяч доларів

Хакер під ніком devil виставив на продаж дані облікових записів 5 485 636 користувачів Twitter. За базу з іменами, телефонами та електронними адресами клієнтів соцмережі він просить $30 тис. У витоку є рядки з інформацією з облікових записів різних компаній, випадкових користувачів та світових знаменитостей.

На думку експертів, зловмисник міг вивантажити ці дані, використовуючи вразливість у мобільному додатку Twitter для Android, яка була там до кінця 2021 року. Вразливість дозволяє будь-якій стороні без будь-якої аутентифікації отримати твіттер-ідентифікатор (що майже рівнозначно отриманню імені користувача облікового запису) будь-якого користувача, відправивши номер телефону/адресу електронної пошти, навіть якщо користувач заборонив цю дію в конфіденційності. Це було можливо через помилку в процесі авторизації в Android-клієнті Twitter, зокрема через баг в процесі перевірки дублювання облікового запису Twitter.

Експерти кількох профільних видань перевірили кілька облікових записів з демо-файлу з витоком і з’ясували, що всі вони дійсно належать саме тим користувачам, які там вказані. Незважаючи на те, що більша частина даних, що продаються, знаходиться у відкритому доступі, зловмисники можуть використовувати адреси електронної пошти та номери телефонів у цільових фішингових атаках. Тому всім користувачам Твіттера слід пильнувати при отриманні електронних листів від Твіттера, особливо якщо вони просять вас ввести облікові дані для входу в систему, що користувачі повинні робити тільки на Twitter.com.