На хакерском форуме выложили в открытый доступ более 5,4 млн пользовательских записей Twitter, содержащих непубличную информацию. Её удалось извлечь с помощью уязвимости API, исправленной в январе 2022 года.
Хакеры активно использовали эту уязвимость. Данные включают номера телефонов и адреса электронной почты.
Ещё в июле злоумышленник запросил за личную информацию более 5,4 млн пользователей Twitter на хакерском форуме $30 000. Эти данные были собраны в декабре 2021 года с использованием уязвимости Twitter API, раскрытой в программе вознаграждения за обнаружение ошибок HackerOne. Она позволяла отправлять номера телефонов и адреса электронной почты в API для получения связанных Twitter ID.
Используя этот идентификатор, злоумышленники могли удалить общедоступную информацию учётной записи и украсть персданные.
BleepingComputer передала образцы пользовательских записей Twitter, и соцсеть подтвердила, что они получены от утечки данных из-за ошибки API.
Также хакеры собрали данные об 1,4 млн профилей Twitter заблокированных пользователей, собранных с использованием другого API. Второй дамп данных не был продан, а предоставлялся только в частном порядке нескольким злоумышленникам. Эти записи содержат либо адрес электронной почты, либо номер телефона, а также общедоступные данные, включая идентификатор учётной записи, имя, отображаемый ник, статус, местоположение, URL-адрес, описание аккаунта, количество подписчиков, дату создания учётной записи, количество друзей и избранных, а также статусы.
Тот факт, что миллионы записей пользователей Twitter были опубликованы бесплатно, предполагает, что с помощью той же уязвимости был создан ещё больший дамп данных. Потенциально он может содержать десятки миллионов записей Twitter, состоящих из личных номеров телефонов, собранных с помощью той же ошибки API, и общедоступной информации, включая подтверждённый статус, имена учётных записей, идентификатор Twitter, биографии и ники.
Новость о более серьёзной утечке данных поступила от эксперта по безопасности Чада Лодера. Он заявил, что получил доказательства массовой утечки данных Twitter, затронувшей миллионы учётных записей в ЕС и США. Эксперт связался с несколькими их владельцами, и они подтвердили, что утёкшие данные верны. Утечка произошла не ранее 2021 года. BleepingComputer получил от Лодера образец файла дампа данных, который содержит 1 377 132 телефонных номера пользователей из Франции. Их актуальность уже удалось подтвердить.
Однако ни один из этих телефонных номеров не присутствует в исходных данных, проданных в августе, что иллюстрирует, насколько масштабной была утечка данных Twitter.
BleepingComputer выяснил, что этот недавно обнаруженный дамп данных состоит из множества файлов, разбитых по кодам стран и регионов, включая Европу, Израиль и США. В нём может находиться более 17 млн записей.
Поскольку эти данные потенциально могут быть использованы для фишинговых атак, пользователям рекомендуют тщательно проверять все электронные письма, которые отправлены якобы из Twitter. Так, владелец может получить письмо, в котором утверждается, что его учётная запись была заблокирована, либо возникли проблемы со входом в систему и т.д. Затем ему предложат войти на сайт, напоминающий Twitter.
В ноябре, после того как Twitter объявила о планах взимать с пользователей $8 в месяц за подписку Blue с проверкой аккаунта, злоумышленники запустили несколько фишинговых кампаний, направленных на верифицированных пользователей. Они требовали от владельцев немедленно зайти в аккаунт Twitter, пугая его приостановкой. Нажав на ссылку, пользователь попадал на фишинговую веб-страницу, которая собирала логины и пароли.