Znanost & Tehnologija Novice

Twitter je potrdil kršitev podatkov računov več kot 5,4 milijona uporabnikov družbenega omrežja

5. avgusta 2022 je Twitter potrdil, da je več kot 5,4 milijona uporabnikov družbenega omrežja razkrilo podatke o svojih računih. Podjetje je prizadetim uporabnikom začelo pošiljati obvestila, da so njihovi podatki, vključno s Twitter ID-jem, imenom, priimkom ali imenom organizacije, telefonsko številko in e-poštnim naslovom, postali javni.

Katy Perry se je ločila od Beverly Hills Abode za 18 milijonov dolarjev

Twitter je priznal, da se je zaradi posodobitve kode platforme junija 2021 v API-ju družbenega omrežja pojavila napaka, povezana z nepravilno obdelavo nastavitev zasebnosti in zmožnostjo nepooblaščenega razčlenjevanja ID-ja Twitterja in podatkov uporabniškega računa.

Twitter je prejel informacije o tej ranljivosti januarja 2022. Razvijalci so takoj popravili situacijo. Do takrat podjetje ni vedelo, ali je bila ta napaka izkoriščena zlonamerno. Zdaj, ko je preučilo vzorec podatkov hekerjev, je podjetje potrdilo, da so to ranljivost odkrili napadalci v šestih mesecih in jo aktivno izkoriščali. Twitter ne more navesti točnega števila prizadetih uporabnikov zaradi tega vdora. Morda jih je več kot 5,4 milijona.

Twitter je pojasnil, da vdor ni razkril gesel računov, vendar bi lahko napadalci baze podatkov računov uporabili za lažna e-poštna sporočila. Družbeno omrežje priporoča, da uporabniki kot varnostni ukrep spremenijo svoja gesla in omogočijo dvostopenjsko avtentikacijo na svojih računih, da preprečijo nepooblaščene prijave.

Twitter uporabnikom, ki ustvarijo psevdonimni račun na družbenem omrežju, svetuje, naj pri registraciji za tak račun na družbenem omrežju ne uporabljajo svoje glavne telefonske številke ali elektronskega naslova.

Heker pod vzdevkom devil je konec julija dal v prodajo podatke o računih 5.485.636 uporabnikov Twitterja. Za zbirko podatkov z imeni, telefonskimi številkami in e-poštnimi naslovi strank družbenih omrežij zahteva 30 tisoč dolarjev.Uhajajo vrstice z informacijami iz računov različnih podjetij, naključnih uporabnikov in svetovnih zvezdnikov.

Strokovnjaki verjamejo, da bi lahko napadalec te podatke naložil z uporabo ranljivosti v mobilni aplikaciji Twitter za Android. Tam je bila do konca leta 2021. Z njegovo pomočjo je bilo mogoče z uporabo preprostega skripta Python in API-ja za Twitter brez avtorizacije razčleniti Twitter ID in podatke o računu, povezane z njihovim računom v družbenem omrežju, tudi če je uporabnik ta polja skril v nastavitvah zasebnosti. To je bilo mogoče zaradi napake v postopku avtorizacije v odjemalcu Android Twitter, zlasti zaradi napake v procesu preverjanja podvojenega računa Twitter.

Poročilo o tej ranljivosti je v začetku januarja 2022 objavil strokovnjak za varnost pod vzdevkom zhirinovskiy na spletnem mestu HackerOne. Twitter je priznal ranljivost in hekerju z belim klobukom plačal 5040 dolarjev nagrade. 13. januarja so razvijalci družbenega omrežja odpravili to ranljivost v mobilni različici za Android in v svojih internih sistemih.

Twitter takrat ni razkril, ali je prišlo do poskusov izkoriščanja te ranljivosti. Družba je dejala, da preiskuje trenutno uhajanje in bo opozorila prizadete uporabnike. Strokovnjaki iz več specializiranih publikacij so preverili več računov iz razkrite demo datoteke in ugotovili, da vsi res pripadajo tam navedenim uporabnikom.

Twitter je potrdil kršitev podatkov računov več kot 5,4 milijona uporabnikov družbenega omrežja