알려지지 않은 해커 또는 해커 그룹이 5.4만 개의 트위터 계정과 연결된 이메일 주소와 전화번호가 포함된 데이터베이스를 온라인에 올렸습니다. 공격자는 이후 수정된 버그를 통해 데이터를 검색할 수 있었습니다.
데이터베이스는 Breach Forums에서 제공되며 Restore Privacy에 의해 발견되었습니다. 공격자는 데이터베이스에 대해 "최소 $30,000"을 원합니다. 데이터베이스에는 비밀번호가 없지만 총 5,485,636명의 Twitter 사용자의 이메일 주소나 전화번호 또는 둘 다 포함되어 있습니다. 공격자는 데이터 유출에 유명인과 회사의 계정이 포함되어 있다고 말했습니다. 개인 정보 복원은 누출이 진위인지 확인할 수 있었지만 유명인이 포함되어 있는지 여부는 확인할 수 없었습니다.
공격자는 이후 수정된 알려진 취약점을 통해 취약점에 액세스했습니다. 취약점은 보안 연구원에 의해 버그 바운티 플랫폼 HackerOne에서 1월 13일에 발표되었습니다. 공격자가 Twitter의 온보딩 API에 POST 요청을 해야 했던 것은 Android 클라이언트의 버그였습니다. 보안 연구원이 HackerOne에서 이 문제를 자세히 설명합니다. Twitter는 11월 5040일에 취약점을 발견하고 수정했습니다. 자세한 내용은 XNUMX월 XNUMX일에 게시되었으며 연구원은 $XNUMX의 보상을 받았습니다. 현재 데이터베이스를 제공하는 공격자가 해킹을 수행하기 위한 정보를 어떻게 얻었는지는 알려지지 않았습니다.