Массовая утечка данных Twitter (запрещенная на территории РФ социальная сеть) произошла в прошлом году. В результате нее были раскрыты более пяти миллионов телефонных номеров и адресов электронной почты. Считалось, что только один хакер получил доступ к данным, и запоздалое признание Twitter служило тому косвенным подтверждением.
Портал HackerOne впервые сообщил об уязвимости еще в январе. Она позволяла любому ввести номер телефона или адрес электронной почты, а затем найти соответствующий twitterID. Это внутренний идентификатор, используемый Twitter, но его можно легко преобразовать в дескриптор Twitter. Злоумышленник сможет составить единую базу данных, в которой будут объединены дескрипторы Twitter, адреса электронной почты и номера телефонов.
Вчера в Твиттере появились предположения, что к одним и тем же личным данным обращались несколько злоумышленников, а не один. Нескольким крупным западным изданиям показали набор данных, который содержал ту же информацию что и "признанной" утечке, но только в другом формате. При этом специалисты по безопасности отмечают, что это "определенно другой субъект угрозы". И, судя по всему, это далеко не единственный "экземпляр" файла.
Данные новой утечки включают пользователей Twitter в Великобритании и почти во всех странах ЕС. Аккаунты пользователей из России и США пострадали меньше, что может быть связано с другим форматом номера телефона, но утверждать о полной безопасности ещё рано.
Фактически, любой пользователь, у которого не был скрыт номер телефона рискует своими данными. Эта настройка, которая довольно глубоко скрыта в Twitter и, по-видимому, включена по умолчанию.
Считается, что злоумышленники могут загружать около 500 000 записей в час, и данные выставляются на продажу несколькими источниками в даркнете примерно за 5 000 долларов.
Эксперт по безопасности, написавший об этом в Твиттере, вместо отклика от площадки получил блокировку своего аккаунта. Профиль другого специалиста по безопасности, который вчера написал об этой проблеме, был заблокирован в тот же день.
Было бы логично, чтобы сейчас в этой новости был написан официальный комментарий Twitter, но Илон Маск уволил всю команду по связям со СМИ, так что остается просто ждать и внимательно изучать настройки приложения.