Експерти вважають, що зловмисник міг вивантажити ці дані, використовуючи вразливість у мобільному додатку Twitter під Android
Хакер під ніком devil виставив на продаж дані облікових записів 5 485 636 користувачів Twitter. За базу з іменами, телефонами та електронними адресами клієнтів соцмережі він просить $30 тис. У витоку є рядки з інформацією з облікових записів різних компаній, випадкових користувачів та світових знаменитостей.
На думку експертів, зловмисник міг вивантажити ці дані, використовуючи вразливість у мобільному додатку Twitter для Android, яка була там до кінця 2021 року. Вразливість дозволяє будь-якій стороні без будь-якої аутентифікації отримати твіттер-ідентифікатор (що майже рівнозначно отриманню імені користувача облікового запису) будь-якого користувача, відправивши номер телефону/адресу електронної пошти, навіть якщо користувач заборонив цю дію в конфіденційності. Це було можливо через помилку в процесі авторизації в Android-клієнті Twitter, зокрема через баг в процесі перевірки дублювання облікового запису Twitter.
Експерти кількох профільних видань перевірили кілька облікових записів з демо-файлу з витоком і з’ясували, що всі вони дійсно належать саме тим користувачам, які там вказані. Незважаючи на те, що більша частина даних, що продаються, знаходиться у відкритому доступі, зловмисники можуть використовувати адреси електронної пошти та номери телефонів у цільових фішингових атаках. Тому всім користувачам Твіттера слід пильнувати при отриманні електронних листів від Твіттера, особливо якщо вони просять вас ввести облікові дані для входу в систему, що користувачі повинні робити тільки на Twitter.com.
Раніше ми писали, що Twitter заплатить $150 млн штрафу за порушення власної політики конфіденційності.
ЧИТАЙТЕ ТАКОЖ:
- 300 млрд платежів на рік: суперапи змінять цифрові грошові перекази
- Meta виділить гроші на відновлення українського бізнесу
- Ми створили ППО для кіберпростору, – міністр цифрової трансформації Федоров
