Yusuf รจ un aspirante giornalista ed esperto di diritto sanitario con unโattenzione particolare alle innovazioni tecnologiche. Scrive per Right for Education, Libertist Centre for Education, Qwenu, e per Gamji Press, UDUS. Il 5 agosto 2022 Twitter ha riconosciuto che un attore minaccioso ha compilato un database di dati degli utenti utilizzando una vulnerabilitร zero-day. Secondo il servizio di microblogging, questa vulnerabilitร รจ stata patchata nel gennaio 2022, ma la violazione ha colpito almeno 5 milioni di utenti di Twitter, per un totale potenziale di 20 milioni. Tuttavia, oggi Bleeping Computer ha riferito che il database, che include informazioni non pubbliche di oltre 5 milioni di utenti, รจ stato ora condiviso gratuitamente allโinterno di un forum sul mercato dei dati violati. I dati riportano anche che un altro database, potenzialmente contenente 17 milioni di record, รจ stato creato utilizzando le stesse attivitร vulnerabili.
Confermato lโhack Zero-Day di Twitter
Confermando le vulnerabilitร zero-day delle API, Twitter ha rilasciato nellโagosto di questโanno una dichiarazione ufficiale in tal senso. La dichiarazione recita:
โCome risultato della vulnerabilitร , se qualcuno inviava un indirizzo e-mail o un numero di telefono ai sistemi di Twitter, i sistemi di Twitter avrebbero detto alla persona a quale account Twitter erano associati gli indirizzi e-mail o i numeri di telefono inviati, se esistenti. Questo bug รจ stato causato da un aggiornamento del nostro codice nel giugno 2021. Quando ne siamo venuti a conoscenza, abbiamo immediatamente indagato e risolto il problema. In quel momento, non avevamo prove che suggerissero che qualcuno avesse approfittato della vulnerabilitร โ. La dichiarazione prosegue: โโฆ non siamo in grado di confermare tutti gli account potenzialmente colpiti e siamo particolarmente attenti alle persone con account pseudonimi che possono essere presi di mira da attori statali o di altro tipoโ.
Il database di 5.485.635 record di utenti di Twitter, che era stato messo in vendita per 30.000 dollari a luglio, รจ stato rilasciato gratuitamente il 24 novembre sul sito web Breach Forums, secondo quanto riportato da Bleeping Computer. La maggior parte delle informazioni, tra cui le identitร di Twitter, i nomi di accesso e lo stato di verifica, sembra essere nota al grande pubblico. Secondo il rapporto, vengono fornite anche informazioni private, come numeri di telefono e indirizzi e-mail.
Come rivelato per la prima volta da un hacker sulla piattaforma di bug bounty HackerOne (che si รจ guadagnato un compenso di 5.000 dollari da Twitter), i dati sembrano essere stati raccolti utilizzando una falla dellโApplication Programming Interface (API), che ha permesso di eliminare i dati.
Ingenti dati rubati agli utenti di Twitter
Chad Loder, un ricercatore di database, ha inoltre affermato che esiste un database piรน grande di dati rubati, distinto da quello divulgato in precedenza, ma contenente dati raccolti utilizzando la stessa vulnerabilitร API. Dopo essere stato bannato da Twitter, Loder ha postato su Mastodon uno screenshot che era stato censurato e che mostrava presumibilmente le informazioni del nuovo database che, secondo Loder, contiene informazioni su intere nazioni. Bleeping Computer ha ricevuto un campione di questo database, che conteneva piรน di un milione di numeri di telefono di utenti francesi di Twitter. La rivista sostiene di aver poi verificato con numerosi utenti che le statistiche sono reali e che il database contiene elenchi di utenti provenienti, oltre che dagli Stati Uniti, anche da Europa, Israele e Stati Uniti. โCi รจ stato detto che si tratta di oltre 17 milioni di record, ma non abbiamo potuto confermarlo in modo indipendenteโ. Il rapporto di Bleeping Computer ha aggiunto.