عانى موقع تويتر من اختراق للبيانات بعد أن استخدم ممثلو التهديد ثغرة لبناء قاعدة بيانات لأرقام الهواتف وعناوين البريد الإلكتروني التي تنتمي إلى 5.4 مليون حساب، مع عرض البيانات الآن للبيع في منتدى القراصنة مقابل 30 ألف دولار.
بالأمس، قال ممثل التهديد إن قاعدة البيانات تحتوي على معلومات حول حسابات مختلفة، بما في ذلك المشاهير والشركات والمستخدمين العشوائيين.
"مرحبًا، أقدم لكم اليوم بيانات تم جمعها عن عدة مستخدمين يستخدمون Twitter عبر ثغرة أمنية. (5485636 مستخدمًا على وجه الدقة)،" منشور المنتديات الذي يبيع بيانات Twitter.
في محادثة مع ممثل التهديد، تم إخبار BleepingComputer أنهم استخدموا ثغرة لجمع البيانات في ديسمبر 2021. إنهم يبيعون البيانات الآن مقابل 30 ألف دولار، وأن المشترين المهتمين قد اتصلوا بهم بالفعل.
كما ذكرت لأول مرة من قبل استعادة الخصوصية، فإن الثغرة الأمنية المستخدمة لجمع البيانات هي نفسها التي تم الكشف عنها لتويتر من خلال HackerOne في الأول من يناير وتم إصلاحها في 13 يناير.
"تسمح الثغرة الأمنية لأي طرف ليس لديه أي مصادقة بالحصول على معرف Twitter (وهو ما يعادل تقريبًا الحصول على اسم مستخدم حساب) لأي مستخدم عن طريق إرسال رقم هاتف / بريد إلكتروني على الرغم من أن المستخدم قد حظر هذا الإجراء في إعدادات الخصوصية، "يقرأ الكشف عن الثغرة الأمنية بواسطة الباحث الأمني" zhirinovskiy ".
"الخطأ موجود بسبب عملية التفويض المستخدمة في عميل Android للتويتر ، وتحديداً في عمليات التحقق من تكرار حساب Twitter."
ومع ذلك، أخبر Devil BleepingComputer أنهم لا ينتمون إلى zhirinovskiy ولم يستخدموا HackerOne أبدًا.
