На продажу выставлены данные 5,4 млн пользователей Twitter - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » На продажу выставлены данные 5,4 млн пользователей Twitter - «Новости»

В даркнете выставили на продажу данные 5,4 млн (5 485 636) пользователей Twitter. База появилась в результате комбинирования открытых данных с телефонными номерами и адресами электронной почты пользователей, которые стали известны через эксплуатацию бага. Злоумышленник оценил базу в 30 000 долларов США.


Издание Bleeping Computer сообщает, что хакер под ником devil, выставивший данные на продажу, заявляет, что дамп содержит информацию о различных учетных записях, в том числе о знаменитостях, компаниях и случайных пользователях.





Злоумышленник подтвердил журналистам, что для сбора данных в декабре 2021 года он использовал уязвимость. Речь идет о баге, о котором первыми сообщили специалисты Restore Privacy. Эта уязвимость была исправлена в начале января текущего года, и репорт о ней можно найти на HackerOne.


«Уязвимость позволяет любому желающему, без какой-либо аутентификации узнать Twitter ID  (что почти равносильно получению имени пользователя учетной записи) любого пользователя через номер телефона/адрес электронной почты, даже если пользователь запретил это действие в настройках конфиденциальности, — писал в отчете пользователь zhirinovskiy. — Ошибка связана с процессом авторизации, используемом в Android-клиенте Twitter, в частности, в с проверкой дублирования учетной записи Twitter».


При этом devil подчеркивает, что он не знаком с zhirinovskiy и тот факт, что он эксплуатировал уязвимость, в целом никак не связан с упомянутым отчетом на HackeOne. Хакер лишь подтвердил, что при помощи адреса электронной почты и номера телефона можно было определить, связан ли этот номер или почтовый адрес с учетной записью Twitter, а затем получить ID этой учетной записи. Вооружившись этим идентификатором, devil, очевидно, извлекал остальные общедоступные данные, чтобы создать профили пользователей.


Стоит заметить, что в 2021 году аналогичным образом был собран дамп, содержащий информацию о 533 313 128 пользователях Facebook*.


В Twitter утечку официально пока не подтвердили, однако заверили СМИ, что уже занимаются расследованием произошедшего. При этом в компании еще раз подчеркнули, что уязвимость, обнаруженная прошлой зимой, давно исправлена.


Журналисты Bleeping Computer самостоятельно проверили данные некоторых пользователей Twitter, которые попали в образец, предоставленный хакером. Выяснилось, что личная информация (адреса электронной почты и номера телефонов) соответствует действительности.


Интересно, что, по информации DLBI, в настоящий момент объявление о продаже уже удалено, а контакт продавца в Telegram неактивен.


* Заблокирована в России, принадлежит компании Meta, признанной экстремистской организацией, запрещенной на территории РФ.  

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В даркнете выставили на продажу данные 5,4 млн (5 485 636) пользователей Twitter. База появилась в результате комбинирования открытых данных с телефонными номерами и адресами электронной почты пользователей, которые стали известны через эксплуатацию бага. Злоумышленник оценил базу в 30 000 долларов США. Издание Bleeping Computer сообщает, что хакер под ником devil, выставивший данные на продажу, заявляет, что дамп содержит информацию о различных учетных записях, в том числе о знаменитостях, компаниях и случайных пользователях. Злоумышленник подтвердил журналистам, что для сбора данных в декабре 2021 года он использовал уязвимость. Речь идет о баге, о котором первыми сообщили специалисты Restore Privacy. Эта уязвимость была исправлена в начале января текущего года, и репорт о ней можно найти на HackerOne. «Уязвимость позволяет любому желающему, без какой-либо аутентификации узнать Twitter ID (что почти равносильно получению имени пользователя учетной записи) любого пользователя через номер телефона/адрес электронной почты, даже если пользователь запретил это действие в настройках конфиденциальности, — писал в отчете пользователь zhirinovskiy. — Ошибка связана с процессом авторизации, используемом в Android-клиенте Twitter, в частности, в с проверкой дублирования учетной записи Twitter». При этом devil подчеркивает, что он не знаком с zhirinovskiy и тот факт, что он эксплуатировал уязвимость, в целом никак не связан с упомянутым отчетом на HackeOne. Хакер лишь подтвердил, что при помощи адреса электронной почты и номера телефона можно было определить, связан ли этот номер или почтовый адрес с учетной записью Twitter, а затем получить ID этой учетной записи. Вооружившись этим идентификатором, devil, очевидно, извлекал остальные общедоступные данные, чтобы создать профили пользователей. Стоит заметить, что в 2021 году аналогичным образом был собран дамп, содержащий информацию о 533 313 128 пользователях Facebook*. В Twitter утечку официально пока не подтвердили, однако заверили СМИ, что уже занимаются расследованием произошедшего. При этом в компании еще раз подчеркнули, что уязвимость, обнаруженная прошлой зимой, давно исправлена. Журналисты Bleeping Computer самостоятельно проверили данные некоторых пользователей Twitter, которые попали в образец, предоставленный хакером. Выяснилось, что личная информация (адреса электронной почты и номера телефонов) соответствует действительности. Интересно, что, по информации DLBI, в настоящий момент объявление о продаже уже удалено, а контакт продавца в Telegram неактивен. * Заблокирована в России, принадлежит компании Meta, признанной экстремистской организацией, запрещенной на территории РФ.
CSS
запостил(а)
Donovan
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: