Хакер под ником devil выставил на продажу данные аккаунтов 5 485 636 пользователей Twitter. За базу с именами, телефонами и электронными адресами клиентов соцсети он просит $30 тыс. В утечке есть строки с информацией из аккаунтов различных компаний, рандомных пользователей и мировых знаменитостей.

Эксперты считают, что злоумышленник мог выгрузить эти данные, используя уязвимость в мобильном приложении Twitter под Android. Она была там до конца 2021 года. С её помощью можно было, задействуя простой скрипт на Python и API Twitter, спарсить без авторизации Twitter ID и данные аккаунтов, связанные с их учетной записью в соцсети, даже если пользователь скрыл эти поля в настройках конфиденциальности. Это было возможно из-за ошибки в процессе авторизации в Android-клиенте Twitter, в частности, из-за бага в процессе проверки дублирования учетной записи Twitter.

Сообщение об этой уязвимости было опубликовано экспертом по безопасности под ником zhirinovskiy на площадке HackerOne в начале январе 2022 года. Twitter признала уязвимость и выплатила белому хакеру вознаграждение в размере $5040. 13 января разработчики соцсети исправили эту уязвимость в мобильной версии под Android и в своих внутренних системах.

Twitter тогда не раскрыла, были ли попытки использовать эту уязвимость. Сейчас в компании сообщили СМИ, что они расследуют текущую утечку и предупредят пострадавших пользователей. Эксперты нескольких профильных изданий проверили несколько аккаунтов из демо-файла с утечкой и выяснили, что все они действительно принадлежат именно тем пользователям, которые там указаны.