Ci deve essere stato un attacco a Twitter in piena regola di recente, non si spiega altrimenti la vendita di un hacker di 5,4 milioni di dati personali di account dei clienti del social e microblogging fornito dal colosso californiano, con filiali a San Antonio e Boston.
Twitter ha subito una violazione dei dati dopo che gli attori delle minacce hanno utilizzato una vulnerabilità per creare un database di numeri di telefono e indirizzi e-mail appartenenti a 5,4 milioni di account, con i dati ora in vendita su un forum di hacker per 30.000 dollari.
Lo ha rivelato di riflesso il cyber-criminale noto come “Devil”. Che ha affermato, in un mercato di dati rubati, che il database contiene informazioni su vari account, tra cui celebrità, aziende e utenti casuali.
Ora stanno vendendo i dati per 30.000 dollari
“Ciao, oggi vi presento i dati raccolti su più utenti che utilizzano Twitter tramite una vulnerabilità, 5485636 utenti per l’esattezza“, si legge nel post del forum che vende i dati di Twitter. “Questi utenti vanno da celebrità, aziende, casuali, OG, ecc.“.
In una conversazione con l’attore delle minacce, a BleepingComputer è stato detto che avevano utilizzato una vulnerabilità per raccogliere i dati nel dicembre 2021. Ora stanno vendendo i dati per 30.000 dollari, con acquirenti pronti a sborsare certe cifre.
Come segnalato per la prima volta da Restore Privacy, la vulnerabilità utilizzata per raccogliere i dati è la stessa divulgata a Twitter tramite HackerOne a inizio anno e risolta il 13.
“La vulnerabilità consente a qualsiasi soggetto senza alcuna autenticazione di ottenere un ID twitter, che equivale quasi a ottenere il nome utente di un account, di qualsiasi utente inviando un numero di telefono/e-mail anche se l’utente ha vietato questa azione nelle impostazioni sulla privacy”. Così si spiega Zhirinovskiy, noto ricercatore di sicurezza.
“Il bug – continua – esiste a causa del processo di autorizzazione utilizzato nel Client Android di Twitter, in particolare nel processo di verifica della duplicazione di un account Twitter“. Tuttavia, Devil ha detto a BleepingComputer che loro non sono affiliati a Zhirinovskiy e non hanno mai utilizzato HackerOne.
“Non voglio mettere nei guai chi lo ha segnalato su H1 – continua l’hacker sempre a BleepingComputer – immagino che molte persone stiano cercando di metterlo in contatto con me, sarei arrabbiato se fossi in lui. Quindi non posso sottolinearlo abbastanza, non ho niente da fare non lui né H1“.
L’hacker ha confermato che potrebbe fornire indirizzi e-mail e numeri di telefono alla vulnerabilità per determinare se è associata a un account Twitter e recuperare l’ID di quell’account. Un allarme, in piena regola, è praticamente scattato.