Эксперты считают, что злоумышленник мог выгрузить эти данные, используя уязвимость в мобильном приложении Twitter под Android
Хакер под ником devil выставил на продажу данные аккаунтов 5 485 636 пользователей Twitter. За базу с именами, телефонами и электронными адресами клиентов соцсети он просит $30 тыс. В утечке есть строки с информацией из аккаунтов различных компаний, случайных пользователей и мировых знаменитостей.
По мнению экспертов злоумышленник мог выгрузить эти данные, используя уязвимость в мобильном приложении Twitter для Android, которая была там до конца 2021 года. Уязвимость позволяет любой стороне без какой-либо аутентификации получить твиттер-идентификатор (что почти равносильно получению имени пользователя учетной записи) любого пользователя, отправив номер телефона/адрес электронной почты, даже если пользователь запретил это действие в настройках конфиденциальности. Это было возможно из-за ошибки в процессе авторизации в Android-клиенте Twitter, в частности, из-за бага в процессе проверки дублирования учетной записи Twitter.
Эксперты нескольких профильных изданий проверили несколько аккаунтов из демо-файла с утечкой и выяснили, что все они действительно принадлежат именно тем пользователям, которые там указаны. Несмотря на то, что большая часть продаваемых данных находится в открытом доступе, злоумышленники могут использовать адреса электронной почты и номера телефонов в целевых фишинговых атаках. Поэтому всем пользователям Твиттера следует проявлять бдительность при получении электронных писем от Твиттера, особенно если они просят вас ввести учетные данные для входа в систему, что пользователи должны делать только на Twitter.com.
Ранее мы писали, что Twitter заплатит 150 млн долларов штрафа за нарушение собственной политики конфиденциальности.
ЧИТАЙТЕ ТАКЖЕ:
- 300 млрд платежей в год: супераппы изменят цифровые денежные переводы
- Meta выделит деньги на восстановление украинского бизнеса
- Мы создали ПВО для киберпространства, — министр цифровой трансформации Федоров
