Twitter потврди дека имало протекување на податоци од профилите на милиони корисници на платформата, вклучително и приватни телефонски броеви и адреси на е-пошта, како резултат на безбедносен инцидент што компанијата го откри во август 2022 година.
Twitter соопшти дека тимот за одговор на инциденти на компанијата ги споредил корисничките податоци протечени во ноември 2021 година со протечените податоци пријавени од медиумите во јули оваа година. Утврдено е дека тоа се истите податоци што беа протечени благодарение на ранливоста „закрпена“ во јануари 2022 година.
Во август оваа година, Twitter потврди дека протекувањето податоци на 5,4 милиони профили е резултат на безбедносна ранливост што им овозможила на хакерите да ги поврзат адресите на е-пошта и телефонските броеви со идентификаторите на Twitter за регистрираните профили, создавајќи милиони профили кои се состојат од јавни и не- јавни податоци.
Бидејќи телефонските броеви и адресите на е-пошта на корисниците не се наменети да бидат јавни, ова може да претставува значителен ризик за приватноста на корисниците на Twitter кои сакаат анонимно да ја користат платформата.
Ранливоста API што хакери ја искористиле за собирање податоци беше пријавена на Twitter на првиот ден од оваа година, но премногу доцна. Пред Twitter да ја коригира на 13 јануари 2022 година, хакерите веќе ја користеле во декември 2021 година, а податоците што ги собрале по тој повод, во јули оваа година, ги ставиле на продажба на хакерски форум барајќи 30.000 долари. Наводно, по таа цена двајца ги купиле овие податоци.
Во септември 2022 и ноември 2022 година, хакерите објавија JSON-датотека која содржи целосен сет од 5,4 милиони профили собрани од хакери минатата година, кои дотогаш приватно циркулираа меѓу мал број сајбер-криминалци.
Отприлика во исто време, истражувач сподели и примероци од дополнителен сет на профили на Twitter собрани со користење на истата ранливост што не беше дел од оригиналното протекување на 5,4 милиони кориснички профили.
Оваа база на податоци е далеку поопширна и наводно содржи податоци од 17 милиони профили собрани со користење на истата API ранливост.
BleepingComputer, кој прв го пријави новото протекување на податоци, не можеше да го потврди обемот на овој дополнителен пакет податоци, но ги контактираше корисниците на Twitter наведени од достапните примероци податоци и утврди дека овие податоци се валидни.
Иако го потврди новото протекување податоци, Twitter не го откри точниот број на изложени корисници.
Компанијата ги советуваше корисниците да овозможат автентикација со два фактори, да користат апликации за автентикација или хардверски клучеви за да ги заштитат своите профили и да бидат особено внимателни со е-поштата поврзани со нивните профили на Twitter, бидејќи сајбер криминалците можат да ги користат протечените информации за високо ефективни phishing напади.
Посебна претпазливост се советува со е-пораките формулирани да им остават на корисниците впечаток на итност, како и е-поштата со барање за нивни приватни информации.