Nieznany haker lub grupa hakerów umieściła w Internecie bazę danych zawierającą adresy e-mail i numery telefonów powiązane z 5.4 milionami kont na Twitterze. Atakujący był w stanie odzyskać dane przez błąd, który został już naprawiony.
Baza danych znajduje się na forach naruszenia i została odkryta przez Restore Privacy. Atakujący chcą „co najmniej 30,000 5,485,636 dolarów” za bazę danych. Baza danych nie zawiera haseł, ale zawiera adresy e-mail lub numery telefonów lub oba te numery wszystkich XNUMX XNUMX XNUMX użytkowników Twittera. Atakujący twierdzi, że naruszenie danych zawiera konta celebrytów i firm. Firma Restore Privacy była w stanie ustalić, czy przeciek jest autentyczny, ale nie czy twierdzi, że znajdowały się w nim znane nazwiska.
Osoba atakująca uzyskała dostęp do luki poprzez znaną lukę, która została już naprawiona. Luka została zaprezentowana 1 stycznia na platformie bug bounty HackerOne przez badacza bezpieczeństwa. Był to błąd w kliencie Androida, który wymagał od atakującego wykonania żądania POST do API onboardingowego Twittera. Badacz bezpieczeństwa szczegółowo opisuje problem na HackerOne. Twitter wykrył lukę w zabezpieczeniach i naprawił ją 13 stycznia. Szczegóły zostały opublikowane 11 lutego, a badacz otrzymał nagrodę w wysokości 5040 USD. Nie wiadomo, w jaki sposób atakujący, który teraz oferuje bazę danych, uzyskał informacje do przeprowadzenia włamania.