5.4 ദശലക്ഷം ട്വിറ്റർ അക്കൗണ്ടുകളുടെ ഫോൺ നമ്പറുകളും ഇമെയിൽ വിലാസങ്ങളും ഹാക്കർ ചോർത്തി

ഒരു അജ്ഞാത ഹാക്കർ അല്ലെങ്കിൽ ഹാക്കർ ഗ്രൂപ്പ് 5.4 ദശലക്ഷം ട്വിറ്റർ അക്കൗണ്ടുകളുമായി ബന്ധപ്പെട്ട ഇമെയിൽ വിലാസങ്ങളും ഫോൺ നമ്പറുകളും അടങ്ങിയ ഒരു ഡാറ്റാബേസ് ഓൺലൈനിൽ സ്ഥാപിച്ചു. പിന്നീട് പരിഹരിച്ച ഒരു ബഗ് വഴി ആക്രമണകാരിക്ക് ഡാറ്റ വീണ്ടെടുക്കാൻ കഴിഞ്ഞു.

ബ്രീച്ച് ഫോറങ്ങളിൽ ഡാറ്റാബേസ് നൽകിയിട്ടുണ്ട്, സ്വകാര്യത പുനഃസ്ഥാപിക്കുക വഴിയാണ് ഇത് കണ്ടെത്തിയത്. ആക്രമണകാരികൾക്ക് ഡാറ്റാബേസിന് "കുറഞ്ഞത് $30,000" വേണം. ഡാറ്റാബേസിൽ പാസ്‌വേഡുകളൊന്നും അടങ്ങിയിട്ടില്ല, എന്നാൽ ഇമെയിൽ വിലാസങ്ങളോ ഫോൺ നമ്പറുകളോ അല്ലെങ്കിൽ മൊത്തം 5,485,636 ട്വിറ്റർ ഉപയോക്താക്കളുടെ രണ്ട് നമ്പറുകളോ അടങ്ങിയിരിക്കുന്നു. ഡാറ്റാ ചോർച്ചയിൽ സെലിബ്രിറ്റികളുടെയും കമ്പനികളുടെയും അക്കൗണ്ടുകളുണ്ടെന്ന് അക്രമി പറയുന്നു. സ്വകാര്യത പുനഃസ്ഥാപിക്കുന്നതിന് ചോർച്ച ആധികാരികമാണെന്ന് നിർണ്ണയിക്കാൻ കഴിഞ്ഞു, എന്നാൽ അതിൽ പ്രശസ്തരായ പേരുകൾ ഉണ്ടായിരുന്നോ എന്ന അവകാശവാദമല്ല.

പരിഹരിച്ച അറിയപ്പെടുന്ന ഒരു അപകടസാധ്യതയിലൂടെ ആക്രമണകാരി അപകടസാധ്യതയിലേക്ക് പ്രവേശിച്ചു. ബഗ് ബൗണ്ടി പ്ലാറ്റ്‌ഫോമായ HackerOne-ൽ ഒരു സുരക്ഷാ ഗവേഷകൻ ജനുവരി 1-ന് ഈ അപകടസാധ്യത അവതരിപ്പിച്ചു. ട്വിറ്ററിന്റെ ഓൺബോർഡിംഗ് API-ലേക്ക് ഒരു POST അഭ്യർത്ഥന നടത്താൻ ഒരു ആക്രമണകാരിയെ ആവശ്യമായി വന്നത് Android ക്ലയന്റിലുള്ള ഒരു ബഗ് ആയിരുന്നു. സുരക്ഷാ ഗവേഷകൻ HackerOne-ൽ പ്രശ്നം വിശദമായി വിവരിക്കുന്നു. ട്വിറ്റർ അപകടസാധ്യത കണ്ടെത്തി ജനുവരി 13-ന് അത് പരിഹരിച്ചു. വിശദാംശങ്ങൾ ഫെബ്രുവരി 11-ന് പ്രസിദ്ധീകരിക്കുകയും ഗവേഷകന് $5040 പാരിതോഷികം നൽകുകയും ചെയ്തു. ഇപ്പോൾ ഡാറ്റാബേസ് വാഗ്ദാനം ചെയ്യുന്ന അക്രമി എങ്ങനെയാണ് ഹാക്ക് ചെയ്യാനുള്ള വിവരങ്ങൾ നേടിയതെന്ന് അറിയില്ല.