Χάκερ διέρρευσε αριθμούς τηλεφώνου και διευθύνσεις email 5.4 εκατομμυρίων λογαριασμών Twitter

Ένας άγνωστος χάκερ ή ομάδα χάκερ έχει τοποθετήσει μια βάση δεδομένων στο διαδίκτυο που περιέχει τις διευθύνσεις email και τους αριθμούς τηλεφώνου που σχετίζονται με 5.4 εκατομμύρια λογαριασμούς Twitter. Ο εισβολέας μπόρεσε να ανακτήσει τα δεδομένα μέσω ενός σφάλματος που έκτοτε έχει διορθωθεί.

Η βάση δεδομένων παρέχεται στα Φόρουμ παραβίασης και ανακαλύφθηκε από το Restore Privacy. Οι εισβολείς θέλουν «τουλάχιστον 30,000 $» για τη βάση δεδομένων. Η βάση δεδομένων δεν περιέχει κωδικούς πρόσβασης, αλλά περιέχει τις διευθύνσεις email ή τους αριθμούς τηλεφώνου ή και τα δύο από τους συνολικά 5,485,636 χρήστες Twitter. Ο εισβολέας λέει ότι η παραβίαση δεδομένων περιέχει λογαριασμούς διασημοτήτων και εταιρειών. Το Restore Privacy μπόρεσε να προσδιορίσει ότι η διαρροή είναι αυθεντική, αλλά όχι αν ο ισχυρισμός ότι υπήρχαν διάσημα ονόματα σε αυτήν.

Ο εισβολέας είχε πρόσβαση στην ευπάθεια μέσω μιας γνωστής ευπάθειας που έκτοτε έχει διορθωθεί. Το θέμα ευπάθειας παρουσιάστηκε την 1η Ιανουαρίου στην πλατφόρμα επιβράβευσης σφαλμάτων HackerOne από έναν ερευνητή ασφάλειας. Ήταν ένα σφάλμα στον πελάτη Android που απαιτούσε από έναν εισβολέα να κάνει ένα αίτημα POST στο API ενσωμάτωσης του Twitter. Ο ερευνητής ασφάλειας περιγράφει το ζήτημα λεπτομερώς στο HackerOne. Το Twitter πήρε την ευπάθεια και το διόρθωσε στις 13 Ιανουαρίου. Λεπτομέρειες δημοσιεύτηκαν στις 11 Φεβρουαρίου και ο ερευνητής έλαβε ανταμοιβή $5040. Δεν είναι γνωστό πώς ο εισβολέας που προσφέρει τώρα τη βάση δεδομένων έλαβε τις πληροφορίες για να πραγματοποιήσει το hack.