В даркнете выставили на продажу данные 5,4 млн (5 485 636) пользователей Twitter. База появилась в результате комбинирования открытых данных с телефонными номерами и адресами электронной почты пользователей, которые стали известны через эксплуатацию бага. Злоумышленник оценил базу в 30 000 долларов США.
Издание Bleeping Computer сообщает, что хакер под ником devil, выставивший данные на продажу, заявляет, что дамп содержит информацию о различных учетных записях, в том числе о знаменитостях, компаниях и случайных пользователях.
Злоумышленник подтвердил журналистам, что для сбора данных в декабре 2021 года он использовал уязвимость. Речь идет о баге, о котором первыми сообщили специалисты Restore Privacy. Эта уязвимость была исправлена в начале января текущего года, и репорт о ней можно найти на HackerOne.
«Уязвимость позволяет любому желающему, без какой-либо аутентификации узнать Twitter ID (что почти равносильно получению имени пользователя учетной записи) любого пользователя через номер телефона/адрес электронной почты, даже если пользователь запретил это действие в настройках конфиденциальности, — писал в отчете пользователь zhirinovskiy. — Ошибка связана с процессом авторизации, используемом в Android-клиенте Twitter, в частности, в с проверкой дублирования учетной записи Twitter».
При этом devil подчеркивает, что он не знаком с zhirinovskiy и тот факт, что он эксплуатировал уязвимость, в целом никак не связан с упомянутым отчетом на HackeOne. Хакер лишь подтвердил, что при помощи адреса электронной почты и номера телефона можно было определить, связан ли этот номер или почтовый адрес с учетной записью Twitter, а затем получить ID этой учетной записи. Вооружившись этим идентификатором, devil, очевидно, извлекал остальные общедоступные данные, чтобы создать профили пользователей.
Стоит заметить, что в 2021 году аналогичным образом был собран дамп, содержащий информацию о 533 313 128 пользователях Facebook*.
В Twitter утечку официально пока не подтвердили, однако заверили СМИ, что уже занимаются расследованием произошедшего. При этом в компании еще раз подчеркнули, что уязвимость, обнаруженная прошлой зимой, давно исправлена.
Журналисты Bleeping Computer самостоятельно проверили данные некоторых пользователей Twitter, которые попали в образец, предоставленный хакером. Выяснилось, что личная информация (адреса электронной почты и номера телефонов) соответствует действительности.
Интересно, что, по информации DLBI, в настоящий момент объявление о продаже уже удалено, а контакт продавца в Telegram неактивен.
* Заблокирована в России, принадлежит компании Meta, признанной экстремистской организацией, запрещенной на территории РФ.