اطلاعات سرقتی میلیون ها کاربر توییتر منتشر شد!

اطلاعات بیش از 5.4 میلیون کاربر توییتر شامل اطلاعات غیرعمومی دزدیده‌شده با استفاده از یک آسیب‌پذیری API، به صورت رایگان در یکی انجمن‌های هکری به اشتراک گذاشته شده‌است. در یک نشت اطلاعاتی گسترده‌تر که توسط یک محقق امنیتی فاش شد نیز 17 میلیون رکورد داده از این شبکه اجتماعی استخراج شده‌است. این موضوع نشان می‌دهد که این اشکال تا چه حد توسط عوامل تهدید مورد سوء‌استفاده قرار گرفته‌است. داده‌های منتشرشده شامل اطلاعات سرقتی عمومی کاربران و همچنین شماره تلفن‌ و آدرس‌های ایمیل کاربران توییتر است که به‌هیچ‌وجه عمومی نیستند.

نقض اطلاعات توییتر

جولای گذشته، یک هکر شروع به فروش اطلاعات خصوصی بیش از 5.4 میلیون کاربر توییتر به قیمت 30000 دلار کرد. این اطلاعات علاوه‌بر داده‌های عمومی مانند ایدی‌های توییتر، شناسه‌های ورود به سیستم، و موقعیت کاربر، شامل اطلاعات خصوصی مانند شماره تلفن و آدرس ایمیل نیز می‌باشد.

این اطلاعات در دسامبر 2021 با استفاده از یک آسیب‌پذیری API که در برنامه HackerOne فاش شده بود، جمع‌آوری شد و به افراد اجازه می‌داد شماره تلفن و آدرس‌های ایمیل را در API ارسال کنند تا شناسه توییتر مرتبط را بازیابی کنند. با استفاده از این شناسه، عوامل تهدید می‌توانستند اطلاعات عمومی مربوط به حساب را برای ایجاد یک رکورد کاربری حاوی اطلاعات خصوصی و عمومی، بدست آورند.

به نظر می‌رسد که چندین عامل تهدید از این باگ برای سرقت اطلاعات خصوصی کاربران توییتر استفاده می‌کنند. پس از اینکه نمونه‌ای از سوابق کاربران به اشتراک گذاشته شد، توییتر بالاخره تأیید کرد که آنها با استفاده از یک باگ API که در ژانویه 2022 برطرف شده بود، دچار نقض اطلاعات شده‌اند.

مالک این انجمن هکری با نام مستعار Pompompurin تأیید کرده که این اطلاعات همان اطلاعات فصل تابستان است و آنها مسئول سوء‌استفاده از این باگ و سرقت انبوه سوابق کاربران توییتر هستند.

علاوه‌بر 5.4 میلیون رکورد برای فروش، 1.4 میلیون پروفایل توییتر کاربران تعلیق‌شده نیز با استفاده از یک API متفاوت جمع‌آوری شده‌است. این رقم مجموع را به تقریباً 7 میلیون پروفایل توییتر حاوی اطلاعات خصوصی می‌رساند.

Pompompurin اعلام کرد که دومین تخلیه داده فروخته نشده و فقط به صورت خصوصی بین چند نفر به اشتراک گذاشته‌شد.

اشتراک‌گذاری داده‌های توییتر در یک انجمن

در ماه سپتامبر و اخیراً در 24 نوامبر، 5.4 میلیون رکورد توییتر به صورت رایگان در یک انجمن هک به اشتراک گذاشته شدند. Pompompurin ‌تایید کرده که این داده‌ها شامل سوابق 5,485,635 کاربر توییتر است. از داده‌های به‌اشتراک‌گذاشته‌شده می‌توان به ایمیل، شماره تلفن، آیدی توییتر، نام، موقعیت جغرافیایی، تعداد دنبال‌کننده، تاریخ ساخت اکانت و عکس پروفایل افراد اشاره کرد.

نشت اطلاعات توییتر با آسیب‌پذیری این API ادامه دارد

در حالی که سرقت اطلاعات 5.4 میلیون بسیار نگران‌کننده است، ادعا می‌شود که آسیب‌پذیری مذکور ظاهراً منجر به یک نشت اطلاعات بیشتری نیز هم شده است. در این نشت گسترده ده‌ها میلیون رکورد اطلاعاتی از کاربران توییتر شامل شناسه توییتر، بیوگرافی، شماره تلفن و آیدی آنها وجود دارد.

خبر نشت این اطلاعات توسط یک کارشناس امنیت به نام Chad Loder در توییتر منتشر شد. ولی او کمی پس از انتشار این خبر دسترسی خود به این شبکه اجتماعی را از دست داد.

این کارشناس امنیت در ادامه نمونه‌ای از این اطلاعات را ضمن مخدوش‌کردن بخشی از داده‌ها در شبکه اجتماعی Mastodon منتشر کرد. وب‌سایت BleepingComputer موفق شده صحت داده‌های موجود در این نشت اطلاعاتی را که شامل شماره تلفن 1,377,132 کاربر در فرانسه است، تأیید کند.

به گزارش BleepingComputer، این نشت اطلاعاتی دربرگیرنده فایل‌هایی به تفکیک کشور و کدهای جغرافیایی است. شایعات حاکی از آن هستند که بیش از 17 میلیون رکورد داده در این بانک اطلاعاتی وجود دارد. اما وب‌سایت مذکور به‌صورت مستقل صحت این ادعا را تأیید نکرده است.

• اخراج یا استخدام نیرو؟ هرچه پادشاه توییتر امر بفرمایند!
• ثبت نام کاربران توییتر به بالاترین حد خود رسیده است