Раніше Twitter підтвердив, що приватні дані 5,4 мільйона користувачів були викрадені через уразливість API, але компанія заявила, що у неї “немає доказів”, що вони були використані. Нині усі ці облікові записи викриті хакерами, повідомляє BleepingComputer. Крім того, додаткові 1,4 мільйона профілів Twitter “призупинених” користувачів були надані в приватному доступі, і ще більший дамп даних з даними “десятків мільйонів” інших користувачів, можливо, виник через цю ж саму вразливість.
У липні минулого року зловмисник почав продавати особисту інформацію понад 5,4 мільйона користувачів Twitter на хакерському форумі за 30 000 доларів. Хоча більша частина даних складалася із загальнодоступної інформації, такої як ідентифікатори Twitter, імена, логіни, розташування та перевірений статус, вони також включали особисту інформацію, таку як номери телефонів та адреси електронної пошти.
Власник хакерського форуму Breached сказав, що він несе відповідальність за використання вразливості (спочатку отриманої від іншого хакера, на ім’я Devil) і видалення записів користувачів. Він також повідомив, що отримав дані 1,4 мільйона тимчасово заблокованих профілів Twitter через інший API, але поділився ними приватно лише з кількома особами.
Крім того, експерт з безпеки Чед Лодер виявив, що ще десятки мільйонів акаунтів Twitter могли бути викриті за допомогою того самого API. Знову ж таки, отримані дані можуть включати приватні номери телефонів разом із загальнодоступною інформацією. Лодер опублікував відредагований зразок дампа на Mastodon, оскільки він був забанений у Twitter кілька днів тому з невідомих причин (після публікації посту). BleepingComputer повідомили, що витік міг зачепити понад 17 мільйонів облікових записів.
Особисті номери телефонів і адреси електронної пошти користувачів могли бути використані для фішингу та інших шахрайств. Ця інформація також може бути використана для розкриття особи в приватних акаунтах Twitter. Будьте обережні з будь-якими підозрілими електронними листами чи повідомленнями, які нібито надійшли з Twitter, і якщо ви ще не використовуєте двофакторну автентифікацію — зараз саме час.
Джерело: Engadget, BleepingComputer