Dữ liệu tài khoản Twitter của 5,4 triệu người dùng được rao bán với giá 30 nghìn đô la

Trong cuộc trò chuyện với kẻ đe dọa, BleepingComputer được cho biết rằng họ đã sử dụng lỗ hổng để thu thập dữ liệu vào tháng 12 năm 2021. Hiện họ đang bán dữ liệu với giá 30.000 đô la và những người mua quan tâm đã tiếp cận họ.

Theo báo cáo đầu tiên của Restore Privacy, lỗ hổng được sử dụng để thu thập dữ liệu giống với lỗ hổng được tiết lộ cho Twitter thông qua HackerOne vào ngày 1 tháng 1 và được sửa vào ngày 13 tháng 1.

"Lỗ hổng bảo mật cho phép bất kỳ bên nào không có bất kỳ xác thực nào có được ID twitter (gần bằng với việc lấy tên người dùng của tài khoản) của bất kỳ người dùng nào bằng cách gửi số điện thoại / email mặc dù người dùng đã cấm hành động này trong cài đặt quyền riêng tư, "đọc tiết lộ về lỗ hổng bảo mật của nhà nghiên cứu bảo mật 'zhirinovskiy.'

"Lỗi tồn tại do quy trình ủy quyền được sử dụng trong Ứng dụng khách Android của Twitter, đặc biệt là trong quy trình kiểm tra sự trùng lặp của tài khoản Twitter."

Tuy nhiên, Devil nói với BleepingComputer rằng họ không liên kết với zhirinovskiy và chưa bao giờ sử dụng HackerOne.

"Tôi không muốn gặp rắc rối vì người đã báo cáo điều đó trên H1. Tôi đoán có rất nhiều người đang cố gắng kết nối anh ấy với tôi, tôi sẽ rất tức giận nếu tôi là anh ấy. Vì vậy, tôi không thể nhấn mạnh đến mức này. Tôi không có gì để làm với anh ta cũng không phải H1, "kẻ đe dọa nói với BleepingComputer.

Tin tặc nói với chúng tôi rằng bạn có thể cung cấp địa chỉ email và số điện thoại cho lỗ hổng để xác định xem nó có được liên kết với tài khoản Twitter hay không và truy xuất ID của tài khoản đó.

Được trang bị ID Twitter này, họ có thể sẽ loại bỏ phần còn lại của dữ liệu công khai để tạo hồ sơ người dùng cho người dùng.

Lỗ hổng này tương tự như cách các tác nhân đe dọa lấy dữ liệu tài khoản Facebook của 533 triệu người dùng vào năm 2021.

Đã xác minh dữ liệu bị rò rỉ

Twitter chưa xác nhận vụ vi phạm dữ liệu vào thời điểm này, và nói rằng họ đang điều tra tính xác thực của các tuyên bố.

"Chúng tôi đã nhận được báo cáo về sự cố này vài tháng trước thông qua chương trình tiền thưởng lỗi của chúng tôi, ngay lập tức đã điều tra kỹ lưỡng và sửa lỗ hổng bảo mật. Như mọi khi, chúng tôi cam kết bảo vệ quyền riêng tư và bảo mật của những người sử dụng Twitter. Chúng tôi biết ơn cộng đồng bảo mật tham gia vào chương trình thưởng lỗi của chúng tôi để giúp chúng tôi xác định các lỗ hổng tiềm ẩn như lỗ hổng này.

Chúng tôi đang xem xét dữ liệu mới nhất để xác minh tính xác thực của các tuyên bố và đảm bảo tính bảo mật của các tài khoản được đề cập ”.

Tuy nhiên, BleepingComputer đã xác minh với một số người dùng Twitter được liệt kê trong một mẫu dữ liệu nhỏ được tin tặc chia sẻ rằng thông tin cá nhân (địa chỉ email và số điện thoại) là chính xác.

Vì chúng tôi chỉ có thể xác minh một số lượng nhỏ người dùng được liệt kê trong dữ liệu cóp nhặt, nên không thể nói tất cả 5,4 triệu tài khoản đang được bán có hợp lệ hay không.

Mặc dù hầu hết dữ liệu được bán đều có sẵn công khai, các tác nhân đe dọa có thể sử dụng địa chỉ email và số điện thoại trong các cuộc tấn công lừa đảo có chủ đích.

Do đó, tất cả người dùng Twitter nên cảnh giác khi nhận được email từ Twitter, đặc biệt nếu họ yêu cầu bạn nhập thông tin đăng nhập, điều mà người dùng chỉ nên thực hiện trên Twitter.com.