Troy Hunt, consulente di sicurezza e creatore di Have I Been Pwned, ha rivelato una vulnerabilitร nellโAPI di Spoutible, una piattaforma sociale nata in seguito allโacquisizione di Twitter da parte di Elon Musk, che potrebbe permettere agli hacker di prendere il pieno controllo degli account degli utenti.
Dopo essere stato allertato sulla vulnerabilitร , Hunt ha scoperto che gli hacker potevano sfruttare lโAPI di Spoutible per ottenere nome, username, bio, email, indirizzo IP e numero di telefono di un utente. Spoutible ha successivamente risolto la vulnerabilitร , assicurando che non sono state divulgate password decifrate o messaggi diretti, ma confermando che le informazioni raccolte includevano indirizzi email e alcuni numeri di cellulare. Spoutible ha invitato gli utenti a cambiare le proprie password e a reimpostare lโautenticazione a due fattori (2FA).
Hunt ha anche scoperto che gli attori malevoli potevano ottenere una versione hash delle password degli utenti. Sebbene protette con bcrypt, password corte o deboli potrebbero essere facilmente decifrabili. Inoltre, lโAPI restituiva il codice 2FA utilizzato per accedere allโaccount di un utente, nonchรฉ i token di reset generati per aiutare un utente a cambiare una password dimenticata, permettendo potenzialmente agli hacker di accedere e dirottare facilmente un account senza allertare lโutente.
Secondo Hunt, lโexploit ha esposto le email di circa 207.000 utenti, quasi tutti gli utenti della piattaforma, che secondo un rapporto di Wired di giugno 2023 contava 240.000 utenti.
Gli utenti possono verificare se le loro informazioni sono state esposte su Have I Been Pwned.