Z Twitteru unikla data více než 200 milionů lidí

Snad každý softwarový produkt má nějakou bezpečnostní zranitelnost a nevyhnulo se to ani systémům sociální sítě Twitter. Ty byly "napadeny" v roce 2021, kdy se hackerům povedlo získat data více než 211,5 milionu uživatelů sítě. Databáze účtů pramenící z tohoto útoku se nyní objevila na prodej na internetu a zjistilo se, jaký byl vlastně rozsah útoku. Mezi uniklými daty byly e-mailové adresy, uživatelská jména, případně i skutečná jména, pokud je uživatel vyplnil, počty sledujících a data vytvoření účtů. V zásadě nic závažného, co by nešlo zjistit běžnými způsoby a vlastně ani nedošlo přímo k hacku.

 

 

Útočníci totiž jen našli způsob, jak automatizovat vyhledávání účtů na Twitteru a výše zmíněných dat k nim. Poslali přihlašovací žádost s e-mailem a nesprávným heslem, přičemž přes API sítě pak byla zpět zaslána informace o přihlašovacím jméně uživatele. Pokud byla zaslána taková odpověď, věděli, že uživatel s daným e-mailem má účet na Twitteru a vytvořili databázi existujících účtů na Twitteru s e-maily, adekvátními přihlašovacími jmény a počty sledujících, což na první pohled nevypadá nijak nebezpečně.

 

Problémem je, že ten, kdo má tuto databázi k dispozici, si díky tomu může snadno vytipovat účty s poměrně velkou základnou sledujících a zahájit různé phishingové útoky, které pak mohou v případě úspěchu vést ke zneužití. Velmi oblíbené je např. "rozmnožování" kryptoměn, pokud sledující nejprve pošle tu svou - tu už ale nikdy neuvidí. A právě účty s většími počty sledujících mohou být pak terčem podobných útoků, protože zvyšují šanci, že se na podobné podvody chytne více lidí. Twitter tuto zranitelnost, která umožňovala rychlé vyhledávání jmen k podstrčeným e-mailům, opravil už před rokem, na začátku 2022.

 

Zdroj: theverge.com, bleepingcomputer.com