Musk znowu ma kłopoty. Tym razem to… kolejny wielki wyciek danych z Twittera

Dane ponad 5,4 mln użytkowników Twittera wystawiono za darmo do wzięcia na jednym z forów hakerskich. Wśród informacji zawartych w wykradzionej bazie danych, znajdowały się również informacje niepubliczne – informuje serwis Bleeping Computer.

Wśród danych niepublicznych, wyróżnić można prywatne numery telefonów użytkowników oraz adresy e-mail, wykorzystywane przez użytkowników do logowania się na kontach na Twitterze.

Późna reakcja, późne wykrycie

Dane, o których mowa, zaczęły być sprzedawane na innym forum dla cyberprzestępców w lipcu ubiegłego roku – pisze serwis. Wówczas to prawdopodobny sprawca zaczął oferować bazę danych zawierającą rekordy dotyczące 5,4 mln osób w cenie 30 tys. dolarów.

Większość danych zawartych w tym zbiorze zawierała co prawda informacje publicznie dostępne, takie jak nazwa konta, nick użytkownika (tzw. Twitter ID), a także lokalizacja, status weryfikacji itd., jednak mimo wszystko znalazły się tam również wcześniej wspomniane już informacje niepubliczne.

Dane miano zebrać w grudniu 2021 roku, wykorzystując lukę bezpieczeństwa w interfejsie programistycznym Twittera (API), którą potem ujawniono i naprawiono w ramach programu bug bounty, realizowanego przez platformę HackerOne.

API, którego podatność użyto, pozwalało użytkownikom na odnajdywanie swojego ID na Twitterze przez wpisanie adresu e-mail albo numeru telefonu.

Z wykorzystaniem tych właśnie ID zebrano publiczne dane na temat osób dotkniętych incydentem, które następnie zestawiono z informacjami niepublicznymi – pisze Bleeping Computer.

Według informacji redakcji, podatność API Twittera wykorzystał więcej niż jeden sprawca.

Błąd API został naprawiony w styczniu tego roku.

1,4 mln użytkowników gratis

Oprócz danych 5,4 mln osób z Twittera, których dane zawarto w omówionym wcześniej zbiorze, na forum oferowano również dane o 1,4 mln zawieszonych kont. Informacje te zgromadzono z wykorzystaniem innego, lecz również dziurawego API Twittera.

Według właściciela forum posługującego się pseudonimem Pompompurin, ten drugi zbiór – dotyczący zawieszonych użytkowników – nie był oferowany publicznie, a dotarł jedynie do kilku osób w dystrybucji prywatnej.

Więcej kłopotów

Serwis informuje, że wyciek danych 5,4 mln osób to nie koniec kłopotów – wykorzystując tę samą podatność API Twittera ktoś stworzył gigantyczną bazę danych zawierających nawet dziesiątki milionów rekordów, w których znajdują się numery telefonów, e-maile, status weryfikacji, nazwa konta i nick użytkownika, a także treść biogramu z Twittera.

Informacje o tym drugim, znacznie poważniejszym wycieku, redakcja otrzymała od eksperta cyberbezpieczeństwa posługującego się pseudonimem Chad Loder, który poinformował o tym fakcie również na Twitterze i chwilę później został tam... zawieszony.

Jego zdaniem do wycieku doszło „nie wcześniej niż w 2021 roku".

Dane, które zawierają się w drugim, większym zbiorze, pochodzą od użytkowników z Europy, Izraela i USA. Źródło redakcji twierdzi, że w bazie może być nawet 17 mln rekordów, jednak Bleeping Computer zastrzega, że informacji tej nie może samodzielnie potwierdzić.

Pikanterii wszystkim tym informacjom dodaje fakt, że o tym, jak bardzo niedopracowane są zabezpieczenia Twittera, informował sygnalista Peiter Zatko. O jego rewelacjach można przeczytać na łamach naszego serwisu w tym tekście . Zatko twierdził m.in., że Twitter zdawał sobie sprawę ze swoich problemów z bezpieczeństwem, jednak zarząd platformy celowo ignorował te kwestie.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].