Twitter is daarvan beskuldig dat hy onwettige data-oortreding toesmeer wat miljoene raak
'n Kubersekuriteitskenner wat op Los Angeles gebaseer is, het gewaarsku teen 'n data-oortreding by die sosiale media-webwerf Twitter wat na bewering "miljoene" regoor die VSA en EU geraak het. Chad Loder, wat die stigter is van die kuberveiligheidsbewusmakingsmaatskappy Habitu8, het na die sosiale media-webwerf op 23 November om gebruikers oor dieselfde te waarsku. Loder beweer dat die oortreding “nie vroeër as 2021 plaasgevind het nie” en “nie voorheen aangemeld is nie”.
Loder het in 'n reeks twiets beweer dat hulle gesien het hoe die data in die beweerde oortreding gesteel is en met potensiële slagoffers van die oortreding gepraat het. Interessant genoeg het die slagoffers bevestig dat die gebreekte data “akkuraat” was. Loder het gesê dat enige Twitter-rekening met die “laat ander jou per telefoonnommer”-instelling geaktiveer in sy “ontdekbaarheid”-instellings geaffekteer word, met “alle rekeninge vir die hele land” kode van Frankryk” gelys, met hul volle selfoonnommers.
Die oortreding sluit ook die "volledige telefoonnommerspasies vir veelvuldige landkodes in die EU" en "sommige areakode[s] in die VSA" in, met die datastel wat persoonlike inligting vir "geverifieerde rekeninge, bekendes, prominente politici en regeringsagentskappe insluit". ”.
Terug in Julie het Twitter 'n data-oortreding bevestig wat miljoene gebruikersrekeninge geraak het. Loder het gesê dat hierdie “nie dieselfde oortreding” kan wees nie, tensy die maatskappy “gelieg” het oor die Julie-oortreding.
Volgens Loder is die data van hierdie oortreding "nie dieselfde data" as wat in die Julie-oortreding gesien is nie, want dit is in 'n "heeltemal ander formaat" en het "verskillende geaffekteerde rekeninge".
Loder glo dat die oortreding plaasgevind het as gevolg van kwaadwillige akteurs wat dieselfde kwesbaarheid uitgebuit het as wat die hack wat in Julie aangemeld is.
Volgens duiwel, dit wil sê, die kuberkraker wat in 'n plasing in 'n inbraakforum Breach Forum beweer het, het die data wat gesteel is, e-posadresse en telefoonnommers van "bekendes, maatskappye, randoms, OG's, ens" ingesluit.
Die eienaar van Breach Forums het eers geverifieer dat die lekkasie outentiek was, en gesê dat die data-oortreding plaasgevind het omdat die duiwel 'n kwesbaarheid op die sosiale media-webwerf wat die eerste keer in Januarie 2022 gemerk is, kon uitbuit.
'n Lid genaamd zhirinovsky het op 1 Januarie 2022 'n verslag gepubliseer oor die kwesbaarheid vir foutvryheid en kwesbaarheidskoördineringsplatform HackerOne. Hulle het die uitwerking van die kwesbaarheid beskryf en gesê: "Die kwesbaarheid laat enige party sonder enige verifikasie toe om 'n Twitter-ID te verkry (wat is amper gelyk aan die gebruikernaam van 'n rekening) van enige gebruiker deur 'n telefoonnommer/e-pos in te dien, selfs al het die gebruiker hierdie aksie in die privaatheidinstellings verbied.
Die fout bestaan as gevolg van die proses van magtiging wat in die Android-kliënt van Twitter gebruik word, spesifiek in die proses om die duplisering van 'n Twitter-rekening na te gaan.” Dit beteken dat die kwesbaarheid “enige aanvaller met basiese kennis van scripting/kodering [om] 'n groot deel van die Twitter-gebruikersbasis op te noem" en versamel gebruikersdata in 'n databasis wat Twitter-gebruikersname aan hul onderskeie e-posadresse of telefoonnommers gekoppel het.
Dit kan dan verkoop word aan kwaadwillige partye wat die data vir advertensiedoeleindes kan gebruik, of om spesifieke Twitter-rekeninge kwaadwillig te teiken, byvoorbeeld bekendes. Twitter het self die kwesbaarheid op 6 Januarie geverifieer en daarna zhirinovsky US$5,040 betaal om die kwessie op Januarie reg te maak 13, met zhirinovsky wat bevestig dat die probleem daardie dag opgelos is.
Op 5 Augustus het Twitter 'n verklaring oor die oortreding geplaas, wat bevestig dat dit gebeur het en dat dit te wyte was aan die kwesbaarheid wat in Januarie gemerk is. Die maatskappy het gesê dit sal "die rekeninggebruikers wat dit kan bevestig direk deur hierdie kwessie in kennis stel, in kennis stel".
Twitter het gesê die data-oortreding was “ongelukkig” en het gebruikers aangemoedig om twee-faktor-verifikasie moontlik te maak om hul rekeninge te beskerm teen ongemagtigde aanmeldings om die kwaadwillige aktiwiteit van data wat lek in beheer te kry en dit eens en vir altyd te beëindig.
Afrikaans 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada