Утечка данных Twitter для 5 миллионов пользователей бесплатно опубликована в Интернете

Частные данные Twitter, относящиеся к 5 миллионам пользователей, были опубликованы на хакерском форуме в прошлый четверг после первой утечки в июле. 

В то время как июльская утечка стоила 30,000 XNUMX долларов, дамп в четверг был предоставлен бесплатно. 

Раскрыта личная информация пользователя

Помпомпурин, владелец хакерского форума HackerOne, подтвердил в BleepingComputer на выходных, что его сайт был ответственен за первоначальный дамп данных.

Еще в декабре в рамках программы форума по поиску ошибок была обнаружена ошибка Twitter API, которая позволяла людям получать определенные идентификаторы Twitter, отправляя соответствующий номер телефона или адрес электронной почты. Это позволило злоумышленникам создавать пользовательские записи на миллионах учетных записей, используя как общедоступную, так и личную информацию. 

К июлю было собрано достаточно данных, чтобы злоумышленник мог начать продажа личная информация 5.4 миллиона пользователей за 30,000 XNUMX долларов на онлайн-форуме. Эти данные включали номера телефонов и адреса электронной почты, а также общедоступную информацию, такую ​​как имена, идентификаторы Twitter, местоположения, имена для входа и подтвержденный статус. 

Кроме того, произошла вторая утечка данных, затронувшая 1.4 миллиона заблокированных пользователей, в результате чего общее количество затронутых профилей достигло почти 7 миллионов. 

Пакет данных, затрагивающий 5.4 миллиона пользователей, был свободно опубликован на хакерском форуме 24 ноября. По словам Помпомпурина, это действительно те же данные, которые продавались за тысячи долларов в июле и августе. 

«Эти записи содержат либо частный адрес электронной почты, либо номер телефона, а также общедоступные очищенные данные, включая идентификатор учетной записи в Twitter, имя, псевдоним, подтвержденный статус, местоположение, URL-адрес, описание, количество подписчиков, дату создания учетной записи, количество друзей, количество избранных. , количество статусов и URL-адреса изображений профиля», — пишет BleepingComputer. 

Еще одна большая брешь?

Хотя ошибка API, используемая для обнаружения данных, была исправлена ​​к январю 2022 года, по сообщениям, тот же эксплойт использовался для еще более крупной утечки данных. 

Эксперт по безопасности Чад Лодер заявил столько же в Твиттере в прошлую среду, заявив, что он получил «доказательства» взлома, затронувшего миллионы американских и европейских пользователей. «Набор данных включает проверенные учетные записи, знаменитостей, известных политиков и правительственные учреждения», — добавил он.

Аккаунт Чада Лодера был заблокирован вскоре после публикации его заявлений. 

Несколько криптофирм включая Celsius и OpenSea столкнулись с утечкой данных электронной почты в июле из-за недовольного сотрудника Customer.io, который занимался общением с клиентами для обеих фирм.