Miliony kont na Twitterze (NYSE: TWTR) są uważane za naruszone przez hakerów po tym, jak skradzione dane użytkowników zostały wystawione na sprzedaż online.
Twitter potwierdził naruszenie w zeszłym tygodniu, informując w poście na blogu, że naruszenie dotyczyło luki w zabezpieczeniach wcześniej odkryte przez Hacker One. Luka została załatana w styczniu wkrótce po otrzymaniu informacji o niej, a haker w białym kapeluszu, który ją odkrył, otrzymał 5000 USD nagrody. Twitter dodał, że nie miał w tamtym czasie dowodów na to, że ktoś wykorzystał tę lukę.
Firma poinformowała, że będzie w bezpośrednim kontakcie z każdym użytkownikiem, co do którego potwierdzono, że został dotknięty naruszeniem. Twitter nie jest obecnie pewien, ile z 5,4 mln pozycji w nielegalnej aukcji jest autentycznych, ponieważ sprzedawca udostępnił publicznie tylko próbkę.
Jak zostały skradzione dane i jak Twitter mógł o tym nie wiedzieć?
Naruszenie zostało szczegółowo opisane przez etycznego hakera w białym kapeluszu działającego pod pseudonimem "Zhirinovsky" w zgłoszeniu Hacker One ze stycznia. Według zgłoszenia, hakerzy mogli skorzystać z e-maila lub numeru telefonu użytkownika, aby uzyskać jego identyfikator użytkownika na Twitterze, który może być następnie wykorzystany do uzyskania prywatnych informacji z konta za pomocą kilku znanych metod.
Jeśli Twitter wiedział w styczniu, że ma poważną wadę bezpieczeństwa, to jakim cudem nie wiedział, że dane zostały skradzione?
Twitter doświadczył już naruszeń w przeszłości, na które zareagował znacznie szybciej, takich jak atak w 2020 r. na konta należących do kilku osób publicznych. W przeciwieństwie do tamtych ataków, które natychmiast zauważono ze względu na to, iż ofiarami były znane osoby, nie było żadnych innych oznak kradzieży danych.
W przypadku innych poważnych włamań, takich jak niedawna kradzież bazy danych chińskiej policji, kradzież zostaje odkryta dopiero po udostępnieniu przechwyconych danych w Internecie.
Dane skradzione w ramach naruszenia Twittera zostały odkryte przez grupę Restore Privacy na znanym forum hakerskim w lipcu. Zarówno Restore Privacy jak i BleepingComputer skontaktowały się z poszkodowanymi użytkownikami, których dane znajdowały się w próbce, otrzymując potwierdzenie, że informacje są autentyczne.
Jak to wpłynie na prywatność użytkowników na Twitterze?
Jest mało prawdopodobne, że Twitter ujawni, ile z milionów pozycji jest autentycznych, jeśli kiedykolwiek będzie w stanie przejrzeć skradzione dane w całości. Jednak nadal jest bardzo prawdopodobne, że wielu użytkowników może być dotkniętych tym problemem, ponieważ więcej niż jedno źródło zweryfikowało autentyczność przykładowych danych.
Oprócz tego, że potencjalnie narażone zostały dane zwykłych użytkowników, ujawnione mogą zostać także dane wielu anonimowych użytkowników. Luka pozwoliła hakerom ominąć ustawienia prywatności Twittera, co oznacza, że ofiarą ataku mógł paść każdy.
Jeśli baza danych nie zostanie odzyskana przez Twittera lub władze, albo nie wycieknie do sieci, jest mało prawdopodobne, że prawdziwy zakres naruszenia będzie znany, pozostawiając bezpieczeństwo danych wielu użytkowników platformy pod znakiem zapytania.