Po nedávných dvou stech milionech kompromitovaných účtů Deezer přichází další únik podobného rozsahu. Tentokrát se týká Twitteru a konkrétně 211 524 284 účtů. Sociální síť vlastněnou Elonem Muskem ale nikdo nehacknul, pouze využil zranitelného – a dnes již opraveného – API, které veřejně dovolovalo vyhledávat uživatele podle telefonního čísla a e-mailu.
Twitter tuto díru opravil až loni v lednu. Údaje se tedy datují nejpozději do prosince 2021. Neznámý pachatel vzal e-mailové adresy z dříve uniklých databází a hromadně se na ně dotazoval Twitteru, který pak vracel už jinak veřejné údaje se jménem, přezdívkou, počtem sledujících účtů a datem vytvoření profilu.
K 59GB balíku se dostal magazín Bleeping Computer, který ověřil, že data jsou opravdu validní. Zakoupil jej na hackerském fóru za asi 50 Kč. Získal jej také bezpečnostní expert Troy Hunt, který data zanesl do databáze Have I Been Pwned, v níž si můžete ověřit, které vaše účty již byly kompromitovány. Tuto databázi dnes využívají i všechny lepší nástroje pro správu hesel, aby uživatele informovaly, že si mají dát pozor.
Podle Hunta mimochodem 98 % z oněch 211,5 milionu e-mailových adres už na HIBP bylo. To ale také znamená, že přes čtyři miliony adres, které pachatel zkoušel na Twitteru, pochází z databází, které ještě veřejně známé nejsou.