Разработчики Twitter сообщили, что 15 ноября 2018 года была зафиксирована атака на сервис. Неизвестные лица обнаружили и эксплуатировали баг в форме обращения в поддержку. Запросы, которые направляли уязвимой форме, исходили от множества IP-адресов, в основном принадлежащих провайдерам в Китае и Саудовской Аравии.
Проблемная форма предназначается для связи с поддержкой Twitter. Через нее пользователи могут уведомить разработчиков социальной сети о проблемах. Как оказалось, из-за бага через такую форму можно было узнать заблокирован ли конкретный аккаунт, а также узнать код страны привязанного к нему телефонного номера. Вторая проблема фактически позволяла третьим сторонам установить страну пользователя и соотнести его учетную запись с определенной географической зоной.
«Пока мы не можем с уверенностью назвать цель и источник данной атаки, но возможно, что некоторые из IP-адресов имели связь с правительственными хакерскими группами», — пишут представители социальной сети.
Данные о количестве пострадавших пользователей не раскрываются, но в компании уверяют, что пользователей, оказавшихся в группе риска, уже начали уведомлять о случившемся, а к расследованию инцидента подключились правоохранительные органы. Кроме того, в официальном заявлении Twitter сказано, что баг, которым пользовались неизвестные, был устранен 16 ноября 2018 года, то есть спустя день после обнаружения.
UPD.
Издание TechCrunch сообщило, что ИБ-специалист Пирзада Фаваз Ахмад Куреши (Peerzada Fawaz Ahmad Qureshi) обнаружил эту проблему еще два года тому назад, о чем уведомил разработчиков через HackerOne. По какой-то причине тогда представители Twitter не сочли уязвимость значимой и не стали ничего предпринимать.