Twitter’ın kodundaki bir kusur, tehdit aktörlerinin hesapları kendilerine kayıtlı e-posta adresleriyle ilişkilendirmesine ve potansiyel olarak kimlikleri açığa çıkarmasına izin verdi. (yeni sekmede açılır) operatörlerinden, sosyal ağ onayladı.
Geçen haftanın sonlarında, şirket kusuru bir Blog yazısı (yeni sekmede açılır)rahatsızlıktan dolayı özür diledi ve sorunun keşfedildiği anda çözüldüğünü açıkladı.
Bu istismar, Twitter’ın başarısız oturum açma girişimlerini ele alma biçiminden yararlandı. Birisi bir e-posta adresi veya telefon numarası kullanarak giriş yapmaya çalıştığında, yanlış şifre girse bile Twitter iki şey yapardı:
- Kullanıcıya yanlış şifreyi gönderdiklerini söyleyin
- Bu e-posta adresi veya telefon numarası (varsa) ile ilişkili Twitter tanıtıcısını gösterin
Bu, takma adla hesap çalıştıran kişilerin kimliklerinin açığa çıkabileceği anlamına geliyordu.
Dark web’de veri satmak
Kusur ilk olarak 2021’in ortalarında fark edildi. O sırada Twitter, herhangi bir kötüye kullanım kanıtı bulamadığını söyledi. Şirket, “Bu hata, Haziran 2021’de kodumuzda yapılan bir güncellemeden kaynaklandı” diye yazdı.
Bir yıl sonra Twitter, birisinin bu yöntemle kullanıcı hesaplarının bir listesini gerçekten derleyip satmaya çalıştığını bir basın raporundan öğrendi.
Twitter rahatsızlıktan dolayı özür diledi, sorunu ortaya çıkar çıkmaz çözdüğünü ve bu sorundan etkilenen hesap sahiplerini doğrudan bilgilendireceğini söyledi.
Şirket, “Potansiyel olarak etkilenmiş her hesabı doğrulayamadığımız ve özellikle devlet veya diğer aktörler tarafından hedef alınabilecek takma adlı hesapları olan kişilere dikkat ettiğimiz için bu güncellemeyi yayınlıyoruz” dedi.
Mikroblog platformu, eksantrik milyarder Elon Musk’ın onu almayı planladığını söylediğinden beri son zamanlarda çok fazla ilgi görüyor. Anlaşmanın geleceği, görünüşte platformda çalışan botların hacmi nedeniyle Musk’ın boyun eğmeye çalışmasının ardından Delaware Chancery Court’ta kararlaştırılacak.