Twitter исправляет ошибку безопасности, из-за которой было раскрыто не менее 5,4 миллиона учетных записей – TechCrunch

Twitter заявляет, что устранил уязвимость в системе безопасности, которая позволяла злоумышленникам собирать информацию о 5,4 миллиона учетных записей Twitter, которые были выставлены на продажу на известном форуме по киберпреступности.

Уязвимость позволяла любому ввести номер телефона или адрес электронной почты известного пользователя и узнать, был ли он привязан к существующей учетной записи Twitter, потенциально раскрывая личности псевдонимных учетных записей.

В краткое заявление опубликовано в пятницу, гигант микроблогов сказал: «Если кто-то отправит адрес электронной почты или номер телефона в системы Twitter, системы Twitter сообщат человеку, с какой учетной записью Twitter были связаны отправленные адреса электронной почты или номер телефона, если таковые имеются».

Twitter заявил, что исправил ошибку в январе — через шесть месяцев после того, как ошибка была первоначально введена в его кодовую базу — после отчета об ошибке исследователя безопасности, который получил 6000 долларов за раскрытие уязвимости.

Согласно отчету об ошибках, уязвимость представляет «серьезную угрозу» для пользователей, имеющих частные или псевдонимные учетные записи, и может быть использована для «создания базы данных» или подсчета «большой части пользовательской базы Twitter». Это похоже на уязвимость, обнаруженную в конце 2019 года, которая позволила исследователю безопасности сопоставить 17 миллионов телефонных номеров с учетными записями Twitter.

Но предупреждение исследователя запоздало. Хакеры уже воспользовались уязвимостью в течение этого шестимесячного окна, чтобы создать базу данных адресов электронной почты и номеров телефонов 5,4 миллиона учетных записей Twitter.

Twitter заявил, что узнал об использовании из неуказанного сообщения прессы в июле, в котором был обнаружен список на форуме по киберпреступности, в котором утверждалось, что у него есть пользовательские данные «от знаменитостей до компаний», и OG, ссылающиеся на пользовательские или пользующиеся большим спросом социальные сети и игры. имена пользователей.

«После изучения выборки данных, доступных для продажи, мы подтвердили, что злоумышленник воспользовался проблемой до того, как она была решена», — говорится в сообщении Twitter. «Мы будем напрямую уведомлять владельцев учетных записей, которые, как мы можем подтвердить, были затронуты этой проблемой».

Это последний инцидент с безопасностью, который произошел в Twitter за последние годы. В мае Twitter согласился выплатить 150 миллионов долларов в счет урегулирования с Федеральной торговой комиссией после того, как компания неправомерно использовала номера телефонов и адреса электронной почты, которые пользователи предоставили для настройки двухфакторной аутентификации, для целевой рекламы.

Leave a Comment