Twitter-ի օգտատերերի ավելի քան 5,4 միլիոն գրառումներ, որոնք պարունակում են ոչ հրապարակային տեղեկատվություն, հրապարակվել են հաքերային ֆորումում: Այն արդյունահանվել է 2022 թվականի հունվարին ամրագրված API-ի խոցելիության միջոցով:
Հաքերներն ակտիվորեն շահագործել են այս խոցելիությունը։ Տվյալները ներառում են հեռախոսահամարներ և էլփոստի հասցեներ:
Դեռևս հուլիսին հարձակվողը Twitter-ի ավելի քան 5,4 միլիոն օգտատերերի պահանջել էր անձնական տեղեկություններ ստանալու համար 30,000 դոլար արժողությամբ հաքերային ֆորումում: Այս տվյալները հավաքվել էին 2021 թվականի դեկտեմբերին՝ օգտագործելով Twitter API-ի խոցելիությունը, որը բացահայտվել էր HackerOne bug bounty ծրագրում: Այն թույլ է տվել API-ին ուղարկել հեռախոսահամարներ և էլփոստի հասցեներ՝ առբերելու Twitter-ի հետ կապված ID-ները:
Օգտագործելով այս նույնացուցիչը՝ հարձակվողները կարող են հեռացնել հանրային հաշվի տեղեկությունները և գողանալ անձնական տվյալները:
BleepingComputer-ը օգտատերերի գրառումների նմուշներ է փոխանցել Twitter-ին, և սոցիալական ցանցը հաստատել է, որ դրանք առաջացել են տվյալների խախտման հետևանքով API-ի սխալի պատճառով:
Այն փաստը, որ Twitter-ի օգտատերերի միլիոնավոր գրառումները հրապարակվել են անվճար, հուշում է, որ նույն խոցելիության օգտագործմամբ ստեղծվել է տվյալների էլ ավելի մեծ աղբանոց: Այն կարող է պարունակել տասնյակ միլիոնավոր թվիթերյան գրառումներ՝ բաղկացած միևնույն API-ի սխալի միջոցով հավաքագրված անձնական հեռախոսահամարներից և հանրությանը հասանելի տեղեկություններից՝ ներառյալ ստուգված կարգավիճակը, հաշվի անունները, Twitter ID-ն, կենսագրությունները և մականունները:
Ավելի լուրջ տվյալների խախտման մասին լուրը եկել է անվտանգության փորձագետ Չադ Լոդերին: Նա ասաց, որ ապացույցներ է ստացել Twitter-ի տվյալների զանգվածային խախտման մասին, որն ազդել է ԵՄ-ում և ԱՄՆ-ում միլիոնավոր օգտահաշիվների վրա: Փորձագետը կապ է հաստատել դրանց մի քանի սեփականատերերի հետ, և նրանք հաստատել են, որ արտահոսած տվյալները ճիշտ են։ Արտահոսքը տեղի չի ունեցել մինչև 2021 թվականը։ BleepingComputer-ը Loder-ից ստացել է տվյալների աղբանոցի նմուշ, որը պարունակում է 1,377,132 հեռախոսահամար ֆրանսիացի օգտատերերի համար: Դրանց համապատասխանությունն արդեն հաստատվել է։
Այնուամենայնիվ, այս հեռախոսահամարներից և ոչ մեկը չի հայտնվում օգոստոսին վաճառված սկզբնական տվյալների մեջ, ինչը ցույց է տալիս, թե որքան զանգվածային է եղել Twitter-ի տվյալների խախտումը:
Սիրարփի Աղաբաբյան