Luka w zabezpieczeniach Twittera została ujawniona w styczniu 2022 roku. Według dostępnych informacji, portal załatał ją już kilka dni później. Wyciek został zauważony przez użytkownika ,,zhirinovskiy”, który przekazał informację organizacji Hacker One, zajmującej się bezpieczeństwem w Internecie. Użytkownik za swoją spostrzegawczość otrzymał od Twittera nagrodę w wysokości 5000 dolarów. Zhirinovskiy w swoich postach podkreślał, że przez powstały wyciek możemy wyszukać każdego użytkownika, podając numer telefonu lub maila, nawet jeśli ich właściciel zastrzegł tę opcję w ustawieniach prywatności.
Pomimo sprawnego rozwiązania problemu, luka została wykorzystana do wygenerowania bazy z danymi milionów użytkowników.
Kilka dni temu, nieco ponad pół roku od wykrycia i naprawienia groźnego błędu serwisu, dane niespełna 5,5 miliona użytkowników Twittera zostały wystawione na sprzedaż. Baza została rzekomo pozyskana przy wykorzystaniu opisanej w styczniu luki bezpieczeństwa. Portal Restore Privacy poinformował, że cyberprzestępca znany jako “devil” wystawił ogłoszenie na hakerskim forum ,,Breached Forums”. Dzięki śledztwu Restore Privacy wiemy, że żąda za bazę nie mniej niż 30 tys. dolarów. Ma zawierać dane z wielu różnych kont, należących m.in. do celebrytów i firm, ale również przypadkowych użytkowników serwisu. Wyciek, oprócz numerów telefonów i adresów mailowych, obejmował też informacje profilowe: liczbę followersów, opisy kont i zamieszczane zdjęcia.
Weryfikacja wycieku – Twitter sprawdza, branżowe portale potwierdzają autentyczność.
Jak raportuje strona BleepingComputer, Twitter na razie nie potwierdza naruszenia bezpieczeństwa danych. Portal prowadzi w tej chwili dochodzenie, w sprawie autentyczności wycieku. Z kolei portale branżowe (Restore Privacy, BleepingComputer oraz forum z oryginalnym postem sprzedaży), po weryfikacji próbek, opublikowanych przez hakera, potwierdzają ich zgodność.
Haker twierdzi, że zdobyta w grudniu 2021 roku baza wzbudza duże zainteresowanie potencjalnych kupujących, a udostępnił ją z powodu niekompetencji Twittera.
Niestety w tej chwili nie ma możliwości sprawdzenia czy nasze konto brało udział w wycieku. Będziemy na bieżąco aktualizować nowe informacje w sprawie. Póki co zalecamy ostrożność wszystkim użytkownikom serwisu, nieklikanie w linki z nieznanych źródeł i niepodawanie ich dalej. Szczególną czujność należy zachować w mailach od samego Twittera, które wymagają od nas podania danych logowania. Te powinny być wprowadzane jedynie na oficjalnej stronie portalu Twitter.com.
