Уязвимость в программном обеспечении Twitter, которая в прошлом году подвергала неопределенное количество владельцев анонимных учетных записей потенциальной компрометации личных данных, была, по-видимому, использована злоумышленником, заявила компания социальных сетей в пятницу.
Он не подтвердил отчет о том, что данные о 5,4 миллионах пользователей были выставлены на продажу в Интернете, но сказал, что пострадали пользователи по всему миру.
Это нарушение вызывает особую тревогу, поскольку многие владельцы аккаунтов в Твиттере, в том числе правозащитники, не раскрывают свою личность в своих профилях из соображений безопасности, в том числе из-за боязни преследований со стороны репрессивных властей.
«Это очень плохо для многих, кто использует псевдонимные учетные записи в Твиттере», — написал в Твиттере эксперт по безопасности данных Военно-морской академии США Джефф Коссефф.
Уязвимость позволяла кому-то определить во время входа в систему, был ли привязан конкретный номер телефона или адрес электронной почты к существующей учетной записи Twitter, тем самым раскрывая владельцев учетной записи, говорится в сообщении компании.
Twitter заявил, что не знает, сколько пользователей могло быть затронуто, и подчеркнул, что пароли не были раскрыты.
«Мы можем подтвердить, что воздействие было глобальным», — сказал представитель Twitter по электронной почте. «Мы не можем точно определить, сколько учетных записей было затронуто или местонахождение владельцев учетных записей».
Признание Twitter в сообщении в блоге в пятницу последовало за отчетом в прошлом месяце группы защиты цифровой конфиденциальности Restore Privacy, в котором подробно описывалось, как данные, предположительно полученные из-за уязвимости, продавались на популярном хакерском форуме за 30 000 долларов.
Исследователь безопасности обнаружил уязвимость в январе, сообщил об этом Twitter и получил вознаграждение в размере 5000 долларов. Twitter сообщил, что ошибка, появившаяся в обновлении программного обеспечения в июне 2021 года, была немедленно исправлена.
Twitter заявил, что узнал о продаже данных на хакерском форуме из сообщений СМИ и «подтвердил, что злоумышленник воспользовался проблемой до того, как она была решена».
Он сказал, что напрямую уведомляет всех владельцев учетных записей, которые могут подтвердить, что они были затронуты.
«Мы публикуем это обновление, потому что мы не можем подтвердить каждую учетную запись, которая потенциально была затронута, и особенно внимательно относимся к людям с псевдонимными учетными записями, которые могут стать мишенью для государства или других субъектов», — говорится в сообщении компании.
Он рекомендовал пользователям, стремящимся скрыть свою личность, не добавлять общеизвестный номер телефона или адрес электронной почты в свою учетную запись Twitter.
«Если вы управляете псевдонимной учетной записью в Твиттере, мы понимаем риски, которые может представлять подобный инцидент, и глубоко сожалеем о том, что это произошло», — говорится в сообщении.
Обнаружение взлома происходит, когда Twitter ведет судебную тяжбу с генеральным директором Tesla Илоном Маском из-за его попытки отказаться от своего предыдущего предложения купить Twitter в Сан-Франциско за 44 миллиарда долларов.
