✔На продажу выставлены данные 5,4 млн пользователей Twitter - «Новости»

26 июля 2022 332 Новости / Текст / Преимущества стилей / Линии и рамки 0

Издание Bleeping Computer сообщает, что хакер под ником devil, выставивший данные на продажу, заявляет, что дамп содержит информацию о различных учетных записях, в том числе о знаменитостях, компаниях и случайных пользователях.

Злоумышленник подтвердил журналистам, что для сбора данных в декабре 2021 года он использовал уязвимость. Речь идет о баге, о котором первыми сообщили специалисты Restore Privacy. Эта уязвимость была исправлена в начале января текущего года, и репорт о ней можно найти на HackerOne.

«Уязвимость позволяет любому желающему, без какой-либо аутентификации узнать Twitter ID (что почти равносильно получению имени пользователя учетной записи) любого пользователя через номер телефона/адрес электронной почты, даже если пользователь запретил это действие в настройках конфиденциальности, — писал в отчете пользователь zhirinovskiy. — Ошибка связана с процессом авторизации, используемом в Android-клиенте Twitter, в частности, в с проверкой дублирования учетной записи Twitter».

При этом devil подчеркивает, что он не знаком с zhirinovskiy и тот факт, что он эксплуатировал уязвимость, в целом никак не связан с упомянутым отчетом на HackeOne. Хакер лишь подтвердил, что при помощи адреса электронной почты и номера телефона можно было определить, связан ли этот номер или почтовый адрес с учетной записью Twitter, а затем получить ID этой учетной записи. Вооружившись этим идентификатором, devil, очевидно, извлекал остальные общедоступные данные, чтобы создать профили пользователей.

Стоит заметить, что в 2021 году аналогичным образом был собран дамп, содержащий информацию о 533 313 128 пользователях Facebook*.

В Twitter утечку официально пока не подтвердили, однако заверили СМИ, что уже занимаются расследованием произошедшего. При этом в компании еще раз подчеркнули, что уязвимость, обнаруженная прошлой зимой, давно исправлена.

Журналисты Bleeping Computer самостоятельно проверили данные некоторых пользователей Twitter, которые попали в образец, предоставленный хакером. Выяснилось, что личная информация (адреса электронной почты и номера телефонов) соответствует действительности.

Интересно, что, по информации DLBI, в настоящий момент объявление о продаже уже удалено, а контакт продавца в Telegram неактивен.

* Заблокирована в России, принадлежит компании Meta, признанной экстремистской организацией, запрещенной на территории РФ.

В даркнете выставили на продажу данные 5,4 млн (5 485 636) пользователей Twitter. База появилась в результате комбинирования открытых данных с телефонными номерами и адресами электронной почты пользователей, которые стали известны через эксплуатацию бага. Злоумышленник оценил базу в 30 000 долларов США. Издание Bleeping Computer сообщает, что хакер под ником devil, выставивший данные на продажу, заявляет, что дамп содержит информацию о различных учетных записях, в том числе о знаменитостях, компаниях и случайных пользователях. Злоумышленник подтвердил журналистам, что для сбора данных в декабре 2021 года он использовал уязвимость. Речь идет о баге, о котором первыми сообщили специалисты Restore Privacy. Эта уязвимость была исправлена в начале января текущего года, и репорт о ней можно найти на HackerOne. «Уязвимость позволяет любому желающему, без какой-либо аутентификации узнать Twitter ID (что почти равносильно получению имени пользователя учетной записи) любого пользователя через номер телефона/адрес электронной почты, даже если пользователь запретил это действие в настройках конфиденциальности, — писал в отчете пользователь zhirinovskiy. — Ошибка связана с процессом авторизации, используемом в Android-клиенте Twitter, в частности, в с проверкой дублирования учетной записи Twitter». При этом devil подчеркивает, что он не знаком с zhirinovskiy и тот факт, что он эксплуатировал уязвимость, в целом никак не связан с упомянутым отчетом на HackeOne. Хакер лишь подтвердил, что при помощи адреса электронной почты и номера телефона можно было определить, связан ли этот номер или почтовый адрес с учетной записью Twitter, а затем получить ID этой учетной записи. Вооружившись этим идентификатором, devil, очевидно, извлекал остальные общедоступные данные, чтобы создать профили пользователей. Стоит заметить, что в 2021 году аналогичным образом был собран дамп, содержащий информацию о 533 313 128 пользователях Facebook*. В Twitter утечку официально пока не подтвердили, однако заверили СМИ, что уже занимаются расследованием произошедшего. При этом в компании еще раз подчеркнули, что уязвимость, обнаруженная прошлой зимой, давно исправлена. Журналисты Bleeping Computer самостоятельно проверили данные некоторых пользователей Twitter, которые попали в образец, предоставленный хакером. Выяснилось, что личная информация (адреса электронной почты и номера телефонов) соответствует действительности. Интересно, что, по информации DLBI, в настоящий момент объявление о продаже уже удалено, а контакт продавца в Telegram неактивен. * Заблокирована в России, принадлежит компании Meta, признанной экстремистской организацией, запрещенной на территории РФ.

запостил(а)

Donovan

Вернуться назад

Смотрите также

Крупный фотобанк 123rf пострадал от утечки данных. Хакеры продают информацию 8,3 млн пользователей - «Новости»

В даркнете продают данные миллиарда граждан Китая - «Новости»

Роскомнадзор проверит информацию об утечке данных более миллиона клиентов МФО - «Интернет»

Данные 77 млн пользователей Nitro PDF опубликованы хакерами - «Новости»

А что там на главной? )))

Комментарии )))

Комментарии для сайта Cackle

« Апрель 2024 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30