’n Onbekende kuberkraker of kubergroep het ’n databasis aanlyn geplaas wat die e-posadresse en telefoonnommers bevat wat met 5.4 miljoen Twitter-rekeninge geassosieer word. Die aanvaller kon die data ophaal deur 'n fout wat intussen reggestel is.
Die databasis word op Breach Forums verskaf en is ontdek deur Restore Privacy. Die aanvallers wil "minstens $30,000 5,485,636" vir die databasis hê. Die databasis bevat geen wagwoorde nie, maar bevat wel die e-posadresse of telefoonnommers of albei van 'n totaal van XNUMX XNUMX XNUMX Twitter-gebruikers. Die aanvaller sê die data-oortreding bevat rekeninge van bekendes en maatskappye. Herstel privaatheid kon vasstel dat die lekkasie outentiek is, maar nie of die bewering dat bekende name daarin was nie.
Die aanvaller het toegang tot die kwesbaarheid verkry deur 'n bekende kwesbaarheid wat sedertdien reggestel is. Die kwesbaarheid is op 1 Januarie op die bug-bounty-platform HackerOne deur 'n sekuriteitsnavorser aangebied. Dit was 'n fout in die Android-kliënt wat vereis het dat 'n aanvaller 'n POST-versoek na Twitter se aanboord-API moes rig. Die sekuriteitsnavorser beskryf die probleem in detail op HackerOne. Twitter het die kwesbaarheid opgetel en dit op 13 Januarie reggestel. Besonderhede is op 11 Februarie gepubliseer, en die navorser het 'n beloning van $5040 XNUMX ontvang. Dit is nie bekend hoe die aanvaller wat nou die databasis aanbied die inligting bekom het om die inbraak uit te voer nie.