Neznámy hacker alebo skupina hackerov sprístupnila online databázu obsahujúcu e-mailové adresy a telefónne čísla spojené s 5.4 miliónmi účtov na Twitteri. Útočníkovi sa podarilo získať údaje prostredníctvom chyby, ktorá bola odvtedy opravená.
Databáza je poskytovaná na Breach Forums a bola objavená službou Restore Privacy. Útočníci chcú za databázu „najmenej 30,000 5,485,636 dolárov“. Databáza neobsahuje žiadne heslá, obsahuje však e-mailové adresy alebo telefónne čísla alebo oboje z celkového počtu XNUMX XNUMX XNUMX používateľov služby Twitter. Útočník tvrdí, že únik údajov obsahuje účty celebrít a spoločností. Restore Privacy dokázalo určiť, že únik je autentický, ale nie to, či sa v ňom nachádzajú známe mená.
Útočník sa k zraniteľnosti dostal prostredníctvom známej zraniteľnosti, ktorá bola odvtedy opravená. Zraniteľnosť bola prezentovaná 1. januára na bug bounty platforme HackerOne bezpečnostným výskumníkom. Išlo o chybu v klientovi Android, ktorá vyžadovala, aby útočník zadal požiadavku POST do onboarding API služby Twitter. Bezpečnostný výskumník podrobne popisuje problém na HackerOne. Twitter zachytil túto zraniteľnosť a opravil ju 13. januára. Podrobnosti boli zverejnené 11. februára a výskumník získal odmenu 5040 dolárov. Nie je známe, ako útočník, ktorý teraz ponúka databázu, získal informácie na vykonanie hacku.