Невядомы хакер або хакерская група размясціла ў Інтэрнэце базу дадзеных, якая змяшчае адрасы электроннай пошты і нумары тэлефонаў, звязаныя з 5.4 мільёнамі акаўнтаў у Twitter. Зламыснік змог атрымаць дадзеныя праз памылку, якая з тых часоў была выпраўлена.
База дадзеных прадстаўлена на форумах Breach і была выяўлена Restore Privacy. Зламыснікі хочуць «як мінімум 30,000 5,485,636 даляраў» за базу дадзеных. База дадзеных не ўтрымлівае пароляў, але ўтрымлівае адрасы электроннай пошты ці нумары тэлефонаў, або і тое, і іншае ў агульнай складанасці XNUMX XNUMX XNUMX карыстальнікаў Twitter. Зламыснік кажа, што ўзлом даных змяшчае акаўнты знакамітасцяў і кампаній. Restore Privacy змагло вызначыць, што ўцечка з'яўляецца сапраўднай, але не вызначыць, ці ёсць у ёй сцвярджэнне пра вядомыя імёны.
Зламыснік атрымаў доступ да ўразлівасці праз вядомую ўразлівасць, якая з тых часоў была выпраўлена. Уразлівасць была прадстаўлена даследчыкам бяспекі 1 студзеня на платформе ўзнагароджання за памылкі HackerOne. Гэта была памылка ў кліенце Android, з-за якой зламыснік патрабаваў зрабіць запыт POST у адаптацыйны API Twitter. Даследчык бяспекі падрабязна апісвае праблему на HackerOne. Twitter выявіў уразлівасць і выправіў яе 13 студзеня. Падрабязнасці былі апублікаваныя 11 лютага, і даследчык атрымаў узнагароду ў 5040 долараў. Невядома, як зламыснік, які цяпер прапануе базу дадзеных, атрымаў інфармацыю для ўзлому.