Хакеры опубликовали данные 5,4 млн пользователей Twitter: Доступ к ним получили благодаря уязвимости API

28 ноября, 2022  15:34

Злоумышленники украли данные более 5,4 миллиона аккаунтов Twitter и выложили их на хакерском форуме в открытом доступе. Украденные данные содержат информацию, не предназначенную для публичного доступа, в том числе частные номера телефонов и адреса электронной почты.

Как рассказывает Bleeping Computer, данные были украдены благодаря уязвимости API, которую раскрыли в программе вознаграждения за обнаружение ошибок и уязвимостей HackerOne и исправили в январе этого года. Как оказалось, уязвимость позволяла отправлять номера телефонов и адреса электронной почты в API для получения связанных Twitter ID, которые в свою очередь позволяли хакерам красть персональные данные.

В июле 2022 года некий хакер потребовал на хакерском форуме 30 000 долларов за персональные данные 5,4 млн пользователей Twitter, похищенных в декабре 2021 года. В своем посте он написал, что среди аккаунтов есть и такие, что принадлежат знаменитостям, известным компаниям и так далее.

С использованием другого API хакеры также получили доступ к данные об 1,4 млн профилей заблокированных пользователей Twitter, однако эти данные не были проданы – их в частном порядке предоставили нескольким злоумышленникам. Получается, что за последние месяцы произошла утечка данных почти 7 млн пользователей.

И вот, совсем недавно, 24 ноября 5,4 миллиона записей Twitter были бесплатно размещены на хакерском форуме. По данным Bleeping Computer, это те же данные, что продавались за 30 000 долларов несколько месяцев назад.

Злоумышленники могут использовать украденные данные для фишинговых атак, поэтому пользователям Twitter рекомендуется с большой осторожностью относиться ко всем электронным письмам, полученным якобы из Twitter. Так, пользователь, например, может получить письмо, в котором говорится, что его аккаунт будет заблокирован, если он не зайдет на свою страницу. Перейдя по ссылке в письме, пользователь попадает на фишинговую веб-страницу, которая внешне может быть похожа на Twitter, но собирает логины и пароли.

Такие фишинговые атаки уже предпринимали в начале ноября, когда в Twitter пытались ввести верификацию за 8 долларов.

Отметим, что, по мнению некоторых специалистов, сейчас Twitter уязвим для атак как никогда, так как многие инженеры покинули компанию – были уволены или ушли по собственной инициативе: поскольку в компании осталось слишком мало сотрудников, они физически не смогут справиться со всем объемом работ, и это неминуемо приведет к проблемам с сервисом и сделает его уязвимым, создавая угрозы для безопасности данных пользователей.


 
  • Самые читаемые

месяц

неделя

день

 
 
 
 
  • Архив