Информация о 5,4 млн пользователей Twitter, украденная с помощью уязвимости API (исправленной в январе текущего года), теперь бесплатно размещена на хакерском форуме. Утекшие данные включают как общедоступную информацию, так и номера телефонов с email-адресами, которые не должны были попасть в открытый доступ.

Напомню, что в конце июля 2022 года в даркнете выставили на продажу данные 5,4 млн (5 485 636) пользователей Twitter. Тогда сообщалось, что эта база возникла в результате комбинирования открытых данных с телефонными номерами и адресами электронной почты пользователей, которые стали известны благодаря эксплуатации бага.

Летом злоумышленник оценил базу в 30 000 долларов США. По данным СМИ, два разных покупателя приобрели дамп по цене ниже первоначальной, а эксперты предупреждали, что данные, скорее всего, будут в итоге публиковаться бесплатно.

Тогда выяснилось, эти данные были собраны несколькими хакерами в декабре 2021 года, через использование уязвимости в Twitter API, отчет о которой можно найти на HackerOne. «Уязвимость позволяет любому желающему, без какой-либо аутентификации узнать Twitter ID  (что почти равносильно получению имени пользователя учетной записи) любого пользователя через номер телефона/адрес электронной почты, даже если пользователь запретил это действие в настройках конфиденциальности», — объяснял нашедший баг исследователь.

В итоге представители Twitter изучили случившееся и подтвердили, что злоумышленники использовали проблему для сбора данных о пользователях. Сообщалось, что уязвимость была закрыта в январе 2022 года.

Как теперь пишет издание Bleeping Computer, прогнозы экспертов сбываются – украденные данные начали распространяться бесплатно. Владелец хакерского форума Breached, известный под ником Pompompurin, сообщил журналистам, что это он несет ответственность за эксплуатацию бага и создание огромного дампа пользовательских данных. Хакер говорит, что узнал о бреши от другого злоумышленника под ником Devil, который поделился с ним информацией об уязвимости.

Хуже того, выяснилось, что помимо этого дампа на продажу была выставлена информация еще о 1,4 млн профилей заблокированных в Twitter пользователей, собранная с использованием другого API. В результате общее количество «утекших» учетных записей Twitter, содержащих личную информацию, уже приближается к 7 млн. Pompompurin говорит, что второй дамп не продавался в открытую, а лишь был передан нескольким людям в частном порядке.

Журналисты рассказывают, что на прошлой неделе, 24 ноября, информация о 5,4 млн пользователей была опубликована в сети бесплатно. Pompompurin подтвердил, что это те же данные, которые продавались в августе и содержат детали профилей 5 485 635 пользователей Twitter.

Хуже того, издание предупреждает, что с помощью упомянутой уязвимости, похоже, был создан еще один, даже больший дамп данных. Он может содержать информацию о десятках миллионов профилей Twitter, включая номеров телефонов (собранных с помощью той же ошибки API) и общедоступную информацию: подтвержденный статус, имена учетных записей, Twitter ID, биографию и отображаемое имя.

Новость об этой утечке данных поступила от ИБ-эксперта Чада Лодера (Chad Loder), который первым сообщил о проблеме, а затем опубликовал отредактированный образец дампа в своем Mastodon.

«Я только что получил доказательства массовой утечки данных в Twitter, затронувшей миллионы учетных записей в ЕС и США. Я связался с несколькими пострадавшими, и они подтвердили, что данные [в дампе] верны. Этот инцидент произошел не ранее 2021 года», — пишет Лодер.

Редакция Bleeping Computer так же изучила образец этого ранее неизвестного дампа, который содержал 1 377 132 телефонных номера пользователей из Франции. Журналисты тоже подтвердили, что номера телефонов действительны. Подчеркивается, что ни один из этих телефонных номеров не представлен в августовском дампе, то есть утечка данных из Twitter была намного масштабнее, чем исходно предполагалось.

Pompompurin так же подтвердил, что не знает, кто создал этот недавно обнаруженный дамп, что еще раз доказывает — упомянутую уязвимость в API использовали и другие люди.

Журналисты пишут, что недавно обнаруженный дамп состоит из множества файлов, разбитых по кодам стран и регионов, включая Европу, Израиль и США. По слухам, в него входит информация о 17 миллионах учетных записей, хотя подтвердить это пока не удалось.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии