En okänd hacker eller hackergrupp har lagt ut en databas online som innehåller e-postadresser och telefonnummer kopplade till 5.4 miljoner Twitter-konton. Angriparen kunde hämta data genom en bugg som sedan har åtgärdats.
Databasen tillhandahålls på intrångsforum och upptäcktes av Restore Privacy. Angriparna vill ha "minst 30,000 5,485,636 $" för databasen. Databasen innehåller inga lösenord, men innehåller e-postadresser eller telefonnummer eller båda för totalt XNUMX XNUMX XNUMX Twitter-användare. Angriparen säger att dataintrånget innehåller konton från kändisar och företag. Restore Privacy kunde avgöra att läckan är äkta, men inte om påståendet att kända namn fanns i den.
Angriparen fick åtkomst till sårbarheten genom en känd sårbarhet som sedan har åtgärdats. Sårbarheten presenterades den 1 januari på bug bounty-plattformen HackerOne av en säkerhetsforskare. Det var en bugg i Android-klienten som krävde en angripare för att göra en POST-förfrågan till Twitters onboarding-API. Säkerhetsforskaren beskriver problemet i detalj på HackerOne. Twitter tog upp sårbarheten och fixade den den 13 januari. Detaljerna publicerades den 11 februari och forskaren tilldelades en belöning på 5040 $. Det är inte känt hur angriparen som nu erbjuder databasen skaffat informationen för att genomföra hacket.