En ukjent hacker eller hackergruppe har lagt ut en database på nettet som inneholder e-postadresser og telefonnumre knyttet til 5.4 millioner Twitter-kontoer. Angriperen var i stand til å hente dataene gjennom en feil som siden har blitt fikset.
Databasen er gitt på Breach Forums og ble oppdaget av Restore Privacy. Angriperne vil ha "minst $30,000 5,485,636" for databasen. Databasen inneholder ingen passord, men inneholder e-postadresser eller telefonnumre eller begge til totalt XNUMX XNUMX XNUMX Twitter-brukere. Angriperen sier at datainnbruddet inneholder beretninger om kjendiser og selskaper. Restore Privacy var i stand til å fastslå at lekkasjen er autentisk, men ikke om påstanden om at kjente navn var i den.
Angriperen fikk tilgang til sikkerhetsproblemet gjennom en kjent sårbarhet som siden har blitt fikset. Sårbarheten ble presentert 1. januar på bug bounty-plattformen HackerOne av en sikkerhetsforsker. Det var en feil i Android-klienten som krevde at en angriper sendte en POST-forespørsel til Twitters onboarding API. Sikkerhetsforskeren beskriver problemet i detalj på HackerOne. Twitter plukket opp sårbarheten og løste den 13. januar. Detaljer ble publisert 11. februar, og forskeren ble tildelt en belønning på $5040. Det er ikke kjent hvordan angriperen som nå tilbyr databasen har skaffet seg informasjonen for å gjennomføre hacket.