Únik dat ze sociální sítě Twitter, který odhalil e-maily a telefonní čísla, se mohl dotknout více než pěti milionů uživatelů, informuje web Security Affairs. K události došlo patrně v prosinci loňského roku a data byla získána zneužitím dnes již opravené zranitelnosti aplikačního rozhraní (API).
Celá kauza začala již v lednu tohoto roku, kdy web HackerZone informoval, o objevení zranitelnosti, kterou může útočník zneužít k nalezení účtu na Twitteru podle telefonního čísla nebo e-mailu, a to i v případě, že se majitel účtu rozhodl tomu zabránit v možnostech nastavení ochrany soukromí.
Přes pět milionů účtů
„Zranitelnost umožňuje komukoli bez jakéhokoli ověření získat Twitter ID (což se téměř rovná získání uživatelského jména účtu) libovolného uživatele zadáním telefonního čísla či e-mailu, přestože uživatel tuto akci v nastavení soukromí zakázal. Chyba existuje kvůli procesu autorizace používanému v klientovi Twitteru pro systém Android, konkrétně v procesu kontroly duplicity účtu,“ uvedli tehdy bezpečnostní experti.
Vykutálení útočníci pochopitelně neváhali a začali zmíněný bezpečnostní nedostatek zneužívat k dolování dat. Postupně tak získali údaje z 5,4 milionů účtů a v létě tato data prodávali na hackerském diskuzním fóru Breached Forums za 30 tisíc dolarů (cca 704 tisíc korun). Prodávající tvrdil, že databáze obsahuje soukromé údaje (např. e-maily a telefonní čísla) 5 485 636 uživatelů od celebrit až po firmy. Aby přesvědčil případné zájemce o tom, že se nejedná o podvod, sdílel vzorek dat ve formě souboru .csv.
Útočníci přitom nepotřebovali k vytěžení dat žádné pokročilé hackerské dovednosti. „Každý útočník se základními znalostmi skriptování/kódování může získat výpis velké části uživatelské základny Twitteru,“ varoval objevitel chyby, vystupující pod přezdívkou Zhirinovskiy.
Díra zalepena
V srpnu společnost Twitter potvrdila, že narušení dat bylo způsobeno „zero day“ chybou, opravenou v lednu. Nahlásil ji bezpečnostní expert s přezdívkou Zhirinovskiy prostřednictvím platformy HackerOne, který za odhalení bezpečnostního nedostatku obdržel odměnu ve výši 5 040 dolarů (v přepočtu asi 118 tisíc korun).
„Chceme vás informovat o zranitelnosti, která komukoliv umožňovala zadat telefonní číslo nebo e-mailovou adresu a následně zjistit, zda je tato informace spojena s existujícím účtem Twitteru, a pokud ano, s jakým konkrétním účtem,“ uvádí se v dokumentu. Chyba prý byla důsledkem aktualizace kódu provedené v červnu 2021.
Minulý týden se objevily informace, podle kterých má mít únik dat větší rozsah, než provozovatel sociální sítě původně oznámil. Uvedenou chybu totiž využilo více útočníků a údaje dostupné v kyberzločineckém podsvětí tak mají několik nezávislých zdrojů. Po dark webu údajně koluje databáze, obsahující soukromé informace o dalším 1,4 milionu pozastavených účtů.