Прыватныя даныя Twitter, якія адносяцца да 5 мільёнаў карыстальнікаў, былі апублікаваны на хакерскім форуме ў мінулы чацвер пасля таго, як яны ўпершыню пратачыліся ў ліпені.
У той час як кошт уцечкі ў ліпені склаў 30,000 XNUMX долараў, дамп у чацвер быў прадастаўлены бясплатна.
Раскрыта прыватная інфармацыя карыстальніка
Помпомпурин, уладальнік хакерскага форуму HackerOne, пацверджаны BleepingComputer на выходных, што яго сайт быў адказны за першапачатковы дамп дадзеных.
Яшчэ ў снежні была выяўленая памылка Twitter API у рамках праграмы ўзнагароджання за памылкі на форуме, якая дазваляе людзям атрымліваць пэўныя ідэнтыфікатары Twitter, адпраўляючы адпаведны нумар тэлефона або адрас электроннай пошты. Гэта дазволіла суб'ектам пагроз ствараць запісы карыстальнікаў на мільёнах уліковых запісаў, выкарыстоўваючы як публічную, так і прыватную інфармацыю.
Да ліпеня было сабрана дастаткова даных, каб пагроза пачала дзейнічаць продаж прыватная інфармацыя 5.4 мільёна карыстальнікаў за 30,000 XNUMX долараў на інтэрнэт-форуме. Гэтыя даныя ўключалі нумары тэлефонаў і адрасы электроннай пошты, а таксама публічную інфармацыю, такую як імёны, ідэнтыфікатары Twitter, месцазнаходжанне, імёны для ўваходу і правераны статус.
Акрамя таго, адбылося другое парушэнне даных, якое закранула 1.4 мільёна заблакіраваных карыстальнікаў, у выніку чаго агульная колькасць закранутых профіляў вырасла амаль да 7 мільёнаў.
Пакет дадзеных, якія закранаюць 5.4 мільёна карыстальнікаў, быў свабодна перададзены на форуме хакераў 24 лістапада. Па словах Пампампэрына, гэта сапраўды тыя самыя дадзеныя, якія былі прададзеныя за тысячы даляраў у ліпені і жніўні.
«Гэтыя запісы ўтрымліваюць альбо прыватны адрас электроннай пошты, альбо нумар тэлефона, а таксама агульнадаступныя скрабаваныя даныя, у тым ліку ідэнтыфікатар уліковага запісу ў Twitter, імя, псеўданім, правераны статус, месцазнаходжанне, URL, апісанне, колькасць падпісчыкаў, дату стварэння ўліковага запісу, колькасць сяброў, колькасць абраных , колькасць статусаў і URL-адрас выявы профілю», — піша BleepingComputer.
Яшчэ адно больш буйное парушэнне?
У той час як памылка API, якая выкарыстоўвалася для выяўлення даных, была выпраўлена да студзеня 2022 года, той жа эксплойт, як паведамляецца, быў выкарыстаны для яшчэ большай уцечкі даных.
Эксперт па бяспецы Чад Лодэр сцвярджаў, столькі ж у Twitter у мінулую сераду, заявіўшы, што ён атрымаў «доказы» парушэння, якое закранае мільёны амерыканскіх і еўрапейскіх карыстальнікаў. «Набор даных уключае правераныя ўліковыя запісы, знакамітасцяў, вядомых палітыкаў і дзяржаўныя ўстановы», — дадаў ён.
Уліковы запіс Чада Лодэра быў прыпынены неўзабаве пасля публікацыі яго прэтэнзій.
Некалькі крыптафірмаў у тым ліку Celsius і OpenSea пацярпелі ад уцечкі дадзеных электроннай пошты ў ліпені з-за незадаволенага супрацоўніка Customer.io, які займаўся зносінамі з кліентамі абедзвюх фірмаў.
Binance бясплатна $100 (эксклюзіў): Выкарыстоўвайце гэтую спасылку каб зарэгістравацца і атрымаць $100 бясплатна і 10% зніжкі на Binance Futures у першы месяц (ўмовы).
Спецыяльная прапанова PrimeXBT: Выкарыстоўвайце гэтую спасылку зарэгістравацца і ўвесці код POTATO50, каб атрымаць да $7,000 на вашыя дэпазіты.
Крыніца: https://cryptopotato.com/leaked-twitter-data-for-5-million-users-reshared-online-for-free/