未知のハッカーまたはハッカーグループが、5.4万のTwitterアカウントに関連付けられた電子メールアドレスと電話番号を含むデータベースをオンラインに公開しました。 攻撃者は、その後修正されたバグを通じてデータを取得することができました。
データベースは違反フォーラムで提供され、RestorePrivacyによって発見されました。 攻撃者は、データベースに「少なくとも30,000ドル」を要求します。 データベースにはパスワードは含まれていませんが、合計5,485,636人のTwitterユーザーの電子メールアドレスまたは電話番号、あるいはその両方が含まれています。 攻撃者は、データ侵害には有名人や企業のアカウントが含まれていると言います。 Restore Privacyは、リークが本物であると判断できましたが、有名な名前が含まれているという主張は判断できませんでした。
攻撃者は、その後修正された既知の脆弱性を介して脆弱性にアクセスしました。 この脆弱性は、セキュリティ研究者によって1月13日にバグ報奨金プラットフォームHackerOneで提示されました。 これはAndroidクライアントのバグであり、攻撃者はTwitterのオンボーディングAPIに対してPOSTリクエストを行う必要がありました。 セキュリティ研究者は、HackerOneでこの問題について詳しく説明しています。 Twitterはこの脆弱性を発見し、11月5040日に修正しました。詳細はXNUMX月XNUMX日に公開され、研究者にはXNUMXドルの報酬が与えられました。 現在データベースを提供している攻撃者が、ハッキングを実行するための情報をどのように入手したかは不明です。