اطلاعات سرقتی میلیون ها کاربر توییتر منتشر شد

به گزارش گروه دانش و فناوری اقتصاد ۱۰۰ و به نقل از سخت افزارمگ، جولای گذشته، یک هکر شروع به فروش اطلاعات خصوصی بیش از 5.4 میلیون کاربر توییتر به قیمت 30000 دلار کرد. این اطلاعات علاوه‌بر داده‌های عمومی مانند ایدی‌های توییتر، شناسه‌های ورود به سیستم، و موقعیت کاربر، شامل اطلاعات خصوصی مانند شماره تلفن و آدرس ایمیل نیز می‌باشد.

این اطلاعات در دسامبر 2021 با استفاده از یک آسیب‌پذیری API که در برنامه HackerOne فاش شده بود، جمع‌آوری شد و به افراد اجازه می‌داد شماره تلفن و آدرس‌های ایمیل را در API ارسال کنند تا شناسه توییتر مرتبط را بازیابی کنند. با استفاده از این شناسه، عوامل تهدید می‌توانستند اطلاعات عمومی مربوط به حساب را برای ایجاد یک رکورد کاربری حاوی اطلاعات خصوصی و عمومی، بدست آورند.

به نظر می‌رسد که چندین عامل تهدید از این باگ برای سرقت اطلاعات خصوصی کاربران توییتر استفاده می‌کنند. پس از اینکه نمونه‌ای از سوابق کاربران به اشتراک گذاشته شد، توییتر بالاخره تأیید کرد که آنها با استفاده از یک باگ API که در ژانویه 2022 برطرف شده بود، دچار نقض اطلاعات شده‌اند.

مالک این انجمن هکری با نام مستعار Pompompurin تأیید کرده که این اطلاعات همان اطلاعات فصل تابستان است و آنها مسئول سوء‌استفاده از این باگ و سرقت انبوه سوابق کاربران توییتر هستند.

علاوه‌بر 5.4 میلیون رکورد برای فروش، 1.4 میلیون پروفایل توییتر کاربران تعلیق‌شده نیز با استفاده از یک API متفاوت جمع‌آوری شده‌است. این رقم مجموع را به تقریباً 7 میلیون پروفایل توییتر حاوی اطلاعات خصوصی می‌رساند.

Pompompurin اعلام کرد که دومین تخلیه داده فروخته نشده و فقط به صورت خصوصی بین چند نفر به اشتراک گذاشته‌شد.

در ماه سپتامبر و اخیراً در 24 نوامبر، 5.4 میلیون رکورد توییتر به صورت رایگان در یک انجمن هک به اشتراک گذاشته شدند. Pompompurin ‌تایید کرده که این داده‌ها شامل سوابق 5,485,635 کاربر توییتر است. از داده‌های به‌اشتراک‌گذاشته‌شده می‌توان به ایمیل، شماره تلفن، آیدی توییتر، نام، موقعیت جغرافیایی، تعداد دنبال‌کننده، تاریخ ساخت اکانت و عکس پروفایل افراد اشاره کرد.

در حالی که سرقت اطلاعات 5.4 میلیون بسیار نگران‌کننده است، ادعا می‌شود که آسیب‌پذیری مذکور ظاهراً منجر به یک نشت اطلاعات بیشتری نیز هم شده است. در این نشت گسترده ده‌ها میلیون رکورد اطلاعاتی از کاربران توییتر شامل شناسه توییتر، بیوگرافی، شماره تلفن و آیدی آنها وجود دارد.

خبر نشت این اطلاعات توسط یک کارشناس امنیت به نام Chad Loder در توییتر منتشر شد. ولی او کمی پس از انتشار این خبر دسترسی خود به این شبکه اجتماعی را از دست داد.

این کارشناس امنیت در ادامه نمونه‌ای از این اطلاعات را ضمن مخدوش‌کردن بخشی از داده‌ها در شبکه اجتماعی Mastodon منتشر کرد. وب‌سایت BleepingComputer موفق شده صحت داده‌های موجود در این نشت اطلاعاتی را که شامل شماره تلفن 1,377,132 کاربر در فرانسه است، تأیید کند.

این نشت اطلاعاتی دربرگیرنده فایل‌هایی به تفکیک کشور و کدهای جغرافیایی است. شایعات حاکی از آن هستند که بیش از 17 میلیون رکورد داده در این بانک اطلاعاتی وجود دارد. اما وب‌سایت مذکور به‌صورت مستقل صحت این ادعا را تأیید نکرده است.