5 августа 2022 года Twitter подтвердила утечку данных аккаунтов более 5,4 млн пользователей соцсети. Компания начала рассылать пострадавшим пользователям уведомления, что их данные, включая Twitter ID, имя, фамилию или название организации, номер телефона и адрес электронной почты, стали общедоступны.
Twitter призналась, что из-за обновления кода платформы в июне 2021 года в работе API соцсети появилась ошибка, связанная с неправильной обработкой настроек конфиденциальности и возможностью спарсить без авторизации Twitter ID и данные аккаунтов пользователей.
Информацию по этой уязвимости Twitter получила в январе 2022 года. Разработчики сразу исправили ситуацию. В компании до этого времени не знали, использовали ли злоумышлении этот баг. Теперь, изучив выборку данных от хакеров, в компании подтвердили, что эта уязвимость за полгода была обнаружена злоумышленниками и активно использовалась. Twitter не может точно назвать количество пострадавших пользователей от этого взлома. Их может быть и больше 5,4 млн.
Twitter пояснила, что в результате этого взлома пароли аккаунтов не были раскрыты, но базы данных аккаунтов могут использоваться злоумышленниками для фишинговых рассылок. Соцсеть рекомендует пользователям поменять пароли и включить двухфакторную аутентификацию в своих учётных записях, чтобы предотвратить несанкционированный вход в систему в качестве меры безопасности.
Twitter советует пользователям, которые заводят в соцсети учётную запись под псевдонимом, не использовать свой основной номер телефона или адрес электронной почты при регистрации такого аккаунта в соцсети.
В конце июля хакер под ником devil выставил на продажу данные аккаунтов 5 485 636 пользователей Twitter. За базу с именами, телефонами и электронными адресами клиентов соцсети он просит $30 тыс. В утечке есть строки с информацией из аккаунтов различных компаний, рандомных пользователей и мировых знаменитостей.
Эксперты после обнародования утечки рассказали, что злоумышленник мог выгрузить эти данные, используя уязвимость в мобильном приложении Twitter под Android. Она была там до конца 2021 года. С её помощью можно было, задействуя простой скрипт на Python и API Twitter, спарсить без авторизации Twitter ID и данные аккаунтов, связанные с их учётной записью в соцсети, даже если пользователь скрыл эти поля в настройках конфиденциальности. Это было возможно из-за ошибки в процессе авторизации в Android-клиенте Twitter, в частности, из-за бага в процессе проверки дублирования учетной записи Twitter.
Сообщение об этой уязвимости было опубликовано экспертом по безопасности под ником zhirinovskiy на площадке HackerOne в начале января 2022 года. Twitter признала уязвимость и выплатила белому хакеру вознаграждение в размере $5040. 13 января разработчики соцсети исправили эту уязвимость в мобильной версии под Android и в своих внутренних системах.
Twitter тогда не раскрыла, были ли попытки использовать эту уязвимость. В компании сообщили, что расследуют текущую утечку и предупредят пострадавших пользователей. Эксперты нескольких профильных изданий проверили некоторые аккаунты из демо-файла с утечкой и выяснили, что все они действительно принадлежат именно тем пользователям, которые там указаны.
