Troy Hunt, consulente di sicurezza e creatore di Have I Been Pwned, ha rivelato una vulnerabilità nell’API di Spoutible, una piattaforma sociale nata in seguito all’acquisizione di Twitter da parte di Elon Musk, che potrebbe permettere agli hacker di prendere il pieno controllo degli account degli utenti.
Dopo essere stato allertato sulla vulnerabilità, Hunt ha scoperto che gli hacker potevano sfruttare l’API di Spoutible per ottenere nome, username, bio, email, indirizzo IP e numero di telefono di un utente. Spoutible ha successivamente risolto la vulnerabilità, assicurando che non sono state divulgate password decifrate o messaggi diretti, ma confermando che le informazioni raccolte includevano indirizzi email e alcuni numeri di cellulare. Spoutible ha invitato gli utenti a cambiare le proprie password e a reimpostare l’autenticazione a due fattori (2FA).
Hunt ha anche scoperto che gli attori malevoli potevano ottenere una versione hash delle password degli utenti. Sebbene protette con bcrypt, password corte o deboli potrebbero essere facilmente decifrabili. Inoltre, l’API restituiva il codice 2FA utilizzato per accedere all’account di un utente, nonché i token di reset generati per aiutare un utente a cambiare una password dimenticata, permettendo potenzialmente agli hacker di accedere e dirottare facilmente un account senza allertare l’utente.
Secondo Hunt, l’exploit ha esposto le email di circa 207.000 utenti, quasi tutti gli utenti della piattaforma, che secondo un rapporto di Wired di giugno 2023 contava 240.000 utenti.
Gli utenti possono verificare se le loro informazioni sono state esposte su Have I Been Pwned.