Twitter против безопасности — социальная сеть блокирует аккаунты, сообщающие об утечках данных

14.10.2024

Независимые специалисты по безопасности сообщают о том, что прошлогодняя массовая утечка данных повторяется. Реакция администрации сервиса крайне интересная — бан аккаунтов.

Массовая утечка данных Twitter (запрещенная на территории РФ социальная сеть) произошла в прошлом году. В результате нее были раскрыты более пяти миллионов телефонных номеров и адресов электронной почты. Считалось, что только один хакер получил доступ к данным, и запоздалое признание Twitter служило тому косвенным подтверждением.

Портал HackerOne впервые сообщил об уязвимости еще в январе. Она позволяла любому ввести номер телефона или адрес электронной почты, а затем найти соответствующий twitterID. Это внутренний идентификатор, используемый Twitter, но его можно легко преобразовать в дескриптор Twitter. Злоумышленник сможет составить единую базу данных, в которой будут объединены дескрипторы Twitter, адреса электронной почты и номера телефонов.

Вчера в Твиттере появились предположения, что к одним и тем же личным данным обращались несколько злоумышленников, а не один. Нескольким крупным западным изданиям показали набор данных, который содержал ту же информацию что и "признанной" утечке, но только в другом формате. При этом специалисты по безопасности отмечают, что это "определенно другой субъект угрозы". И, судя по всему, это далеко не единственный "экземпляр" файла.

Данные новой утечки включают пользователей Twitter в Великобритании и почти во всех странах ЕС.  Аккаунты пользователей из России и США пострадали меньше, что может быть связано с другим форматом номера телефона, но утверждать о полной безопасности ещё рано.

Фактически, любой пользователь, у которого не был скрыт номер телефона рискует своими данными. Эта настройка, которая довольно глубоко скрыта в Twitter и, по-видимому, включена по умолчанию.

Считается, что злоумышленники могут загружать около 500 000 записей в час, и данные выставляются на продажу несколькими источниками в даркнете примерно за 5 000 долларов.

Эксперт по безопасности, написавший об этом в Твиттере, вместо отклика от площадки получил блокировку своего аккаунта. Профиль другого специалиста по безопасности, который вчера написал об этой проблеме, был заблокирован в тот же день.

Было бы логично, чтобы сейчас в этой новости был написан официальный комментарий Twitter, но Илон Маск уволил всю команду по связям со СМИ, так что остается просто ждать и внимательно изучать настройки приложения.

Теги: