Уязвимость Twitter, впервые обнаруженная и устраненная в январе 2022 года, нанесла гораздо больший ущерб, чем предполагалось изначально.
Как сообщал TechRadar Pro в конце июля 2022 года, в даркнете был продан дамп конфиденциальной идентификационной информации (открывается в новой вкладке) 5,4 миллиона пользователей Twitter. Теперь отчеты о трассировке показывают, что не только этот дамп данных предлагается бесплатно, но и произошло второе, потенциально еще более разрушительное нарушение.
По данным BleepingComputer(opens in a new tab), это потенциально может содержать «десятки миллионов записей в Твиттере», включая номера телефонов людей, подтвержденный статус, имена учетных записей, идентификаторы Твиттера, биографии и псевдонимы.
подтвержденная подлинность
Выводы были первоначально опубликованы исследователем безопасности Чадом Лодером, который, как сообщается, был забанен в Твиттере после публикации новостей. С тех пор он мигрировал в Mastodon и опубликовал там свои открытия.
«Я только что получил доказательства массовой утечки данных Twitter, затронувшей миллионы учетных записей Twitter в ЕС и США. Я связался с несколькими затронутыми учетными записями, и они подтвердили, что взломанные данные верны. Это изнасилование произошло не ранее 2021 года. », — поделился Лодер в Twitter в то время.
BleepingComputer проанализировал образец взлома, который содержал более 1,3 миллиона телефонных номеров пользователей Twitter во Франции, и пришел к выводу, что эти номера действительны.
«С тех пор мы подтвердили многочисленным пользователям в этой утечке, что номера телефонов действительны, подтверждая, что это дополнительное нарушение данных реально», — отмечается в сообщении.
Эти телефонные номера не были частью дампа данных, проданного прошлым летом, что подтверждает все, кроме второй утечки.
BleepingComputer также удалось связаться с человеком, стоящим за первоначальной утечкой данных, хакером, выдававшим себя за «Помпомпурина», который подтвердил, что не несет ответственности за вторую утечку.
Таким образом, можно с уверенностью предположить, что различные злоумышленники знали об уязвимости Twitter и активно работали над ее использованием еще до того, как она была исправлена.