По информации экспертов сервиса поиска утечек и мониторинга даркнета DLBI, в открытый доступ попали данные 209,5 млн пользователей Twitter.
Сервис DLBI пояснил, что в распространяемом хакерами архиве размером 12 ГБ содержатся 209 595 667 строк с информацией:
- имя и фамилия пользователя;
- логин в Twitter;
- адрес электронной почты (5,6 млн адресов на домене .ru);
- количество подписчиков;
- дата создания профиля.
26 декабря неизвестный хакер выложил на профильном форуме с утечками на продажу базу данных 400 млн пользователей Twitter. В качестве подтверждения продавец предоставил фрагмент данных 1000 пользователей, в котором есть данные создателя криптовалюты Ethereum Виталика Бутерина, основателя Apple Стива Возняка, миллиардера Марка Кьюбана, специалиста по кибербезопасности Брайана Кребса и других популярных личностей. Независимые ИБ-исследователи подтвердили подлинность данных в выложенном в открытом доступе файле.
Согласно описанию, хакер шантажировал Илона Маска слитой базой данных и предлагал владельцу Twitter срочно выкупить данные и избежать судебных исков и штрафов, пока информацию не купил кто-нибудь другой.
- 5 августа 2022 года Twitter подтвердила утечку данных аккаунтов более 5,4 млн пользователей соцсети. Компания начала рассылать пострадавшим пользователям уведомления, что их данные, включая Twitter ID, имя, фамилию или название организации, номер телефона и адрес электронной почты, стали общедоступны.
- Twitter призналась, что из-за обновления кода платформы в июне 2021 года в работе API соцсети появилась ошибка, связанная с неправильной обработкой настроек конфиденциальности и возможностью спарсить без авторизации Twitter ID и данные аккаунтов пользователей.
- Twitter пояснила, что в результате этого взлома пароли аккаунтов не были раскрыты, но базы данных аккаунтов могут использоваться злоумышленниками для фишинговых рассылок. Соцсеть рекомендует пользователям поменять пароли и включить двухфакторную аутентификацию в своих учётных записях, чтобы предотвратить несанкционированный вход в систему в качестве меры безопасности.
- Эксперты после обнародования утечки рассказали, что злоумышленник мог выгрузить эти данные, используя уязвимость в мобильном приложении Twitter под Android. Она была там до конца 2021 года. С её помощью можно было, задействуя простой скрипт на Python и API Twitter, спарсить без авторизации Twitter ID и данные аккаунтов, связанные с их учётной записью в соцсети, даже если пользователь скрыл эти поля в настройках конфиденциальности. Это было возможно из-за ошибки в процессе авторизации в Android-клиенте Twitter, в частности, из-за бага в процессе проверки дублирования учётной записи Twitter.
- Сообщение об этой уязвимости было опубликовано экспертом по безопасности под ником zhirinovskiy на площадке HackerOne в начале января 2022 года. Twitter признала уязвимость и выплатила белому хакеру вознаграждение в размере $5040. 13 января разработчики соцсети исправили эту уязвимость в мобильной версии под Android и в своих внутренних системах.
