Πριν από μερικούς μήνες, το Twitter επιβεβαίωσε ότι τα προσωπικά δεδομένα 5,4 εκατομμυρίων χρηστών κλάπηκαν λόγω μίας ευπάθειας ενός API, ωστόσο τότε, η εταιρεία είχε δηλώσει ότι δεν είχε «καμία απόδειξη» ότι είχε η ίδια παραβιαστεί.
Όπως αναφέρει όμως το BleepingComputer, τα δεδομένα όλων αυτών των λογαριασμών βρίσκονται πλέον εκτεθειμένα σε κοινή θέα σε ένα forum για hacking. Σαν να μην έφτανε το παραπάνω, γίνεται λόγος και για μία δεύτερη παραβίαση. Αυτή τη φορά, 1,4 εκατομμύρια προφίλ χρηστών του Twitter που είχαν τεθεί σε αναστολή φαίνεται να κοινοποιήθηκαν ιδιωτικά ενώ ένα ακόμη μεγαλύτερο «dump» περιέχει δεδομένα «δεκάδων εκατομμυρίων» χρηστών και το οποίο ενδέχεται να προέρχεται από την ίδια παραβίαση.
Ο ιδιοκτήτης του φόρουμ που απευθύνεται σε hackers και έχει την ονομασία «Breached» δήλωσε στην ιστοσελίδα BleepingComputer ότι ο ίδιος ήταν ο βασικός υπεύθυνος για την αξιοποίηση της ευπάθειας που οδήγησε στην παραβίαση (η ευπάθεια ανακαλύφθηκε πάντως από έναν άλλον hacker με την ονομασία «Devil») αλλά και για το «dump» των αρχείων των χρηστών. Ο ιδιοκτήτης του forum και hacker έκανε γνωστό επίσης ότι έχει στην κατοχή του 1,4 εκατομμύρια προφίλ χρηστών του Twitter από λογαριασμούς που είχαν τεθεί σε αναστολή. Τα παραπάνω δεδομένα αποκτήθηκαν με την εκμετάλλευση μίας άλλης ευπάθειας που εντοπίστηκε σε ένα διαφορετικό API ωστόσο ο hacker έκανε γνωστό ότι μοιράστηκε τα δεδομένα με λίγα άτομα.
Ο ειδικός σε θέματα ασφάλειας Chad Loder αποκάλυψε επίσης ότι δεκάδες εκατομμύρια ακόμη λογαριασμοί του Twitter ενδέχεται να έχουν εκτεθεί επίσης με την παραβίαση ή τις παραβιάσεις να οφείλονται στο ίδιο προβληματικό API. Να αναφέρουμε ότι στα δεδομένα που κλάπηκαν ενδέχεται να περιλαμβάνουν αριθμούς τηλεφώνου μαζί με διάφορες άλλες πληροφορίες. Ο Chad Loder δημοσίευσε ένα δείγμα από το dump στο Mastodon καθώς είχε αποκλειστεί από τη χρήση του λογαριασμού του στο Twitter για άγνωστους λόγους. Σύμφωνα με πληροφορίες του Bleeping Computer, το συγκεκριμένο dump Θα μπορούσε να περιέχει πάνω από 17 εκατομμύρια αρχεία.
Εξαιτίας των παραβιάσεων διέρρευσαν ιδιωτικοί τηλεφωνικοί αριθμοί και διευθύνσεις ηλεκτρονικού ταχυδρομείου που θα μπορούσαν να χρησιμοποιηθούν για phishing και άλλες απάτες. Οι συγκεκριμένες επίσης πληροφορίες θα μπορούσαν να αξιοποιηθούν για την αποκάλυψη των πραγματικών ταυτοτήτων διάφορων χρηστών του Twitter. Ως συνήθως, να είστε πολύ επιφυλακτικοί με τυχόν ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου ή μηνύματα κειμένου που ισχυρίζονται ότι προέρχονται από το Twitter. Αν επίσης σκέφτεστε να χρησιμοποιήσετε την επαλήθευση ταυτότητας δύο παραγόντων, τώρα είναι η κατάλληλη στιγμή.
Πηγή: https://www.insomnia.gr/
(Κώστας Παπαζαχαρίου, αναδημοσίευση 1/12/2022)
Join the Conversation →