Twitter/X alternatifindeki bir kullanıcı Emzikli Şirketin, Spoutible CEO’su Christopher Bouzy’yi son güvenlik sorununun doğası hakkında daha dürüst olmaya ittikten sonra gönderilerini sildiğini iddia ediyor. Şirketin yalanladığı iddialar, startup’ta geçen hafta meydana gelen güvenlik olayı efsanesindeki son tuhaf gelişme.
Geçen hafta Bouzy şunu kabul etti: güvenlik açığı girişimindeki kullanıcıların e-postalarını ve telefon numaralarını ifşa ettiğini söyledi. daha kapsayıcı, daha nazik Twitter. Ancak güvenlik araştırmacısı Troy Hunt, Pwned oldum mu İnsanların verilerinin bir veri ihlalinde ele geçirilip geçirilmediğini kontrol etmelerine olanak tanıyan web sitesi, Spoutible’ın geliştirici API’sinin aynı zamanda kötü aktörlerin kullanıcıların hesaplarını onlar bilmeden ele geçirmek için kullanabilecekleri bilgileri de açığa çıkardığını tespit etti.
Avlamak Bu çok daha ciddi suçlamaya ilişkin bulgularını web sitesinde ayrıntılı olarak anlattıSpoutible API’nin başka herhangi bir kullanıcının şifresinin bcrypt karma değerini, ayrıca 2FA (iki faktörlü) sırları ve bir kullanıcının şifresini sıfırlamak için yeniden kullanılabilecek jetonu içeren verileri döndürdüğünü belirtti.
Kısacası, bu güvenlik açığı son derece istismar edilebilir nitelikteydi ve kötü niyetli bir kişinin bir kullanıcının hesabını, haberi olmadan ele geçirmesine olanak tanıyabilirdi. Verge o sırada bildirdi. Hunt, Spoutible’ın hizmetinden veri çıkardıklarını iddia eden üçüncü bir taraf tarafından bu sorunla ilgili olarak uyarılmıştı. Pwned’in hesabı gibi X’te onaylandıSpoutible, yanlış yapılandırılmış API’sinden “ad, e-posta, kullanıcı adı, telefon, cinsiyet, bcrypt şifre karması, 2FA sırrı ve şifre sıfırlama belirteci” dahil olmak üzere 207.000 kullanıcı kaydını sildirdi.
Geçtiğimiz Haziran ayı itibarıyla Spoutible’ın 240.000 kayıtlı kullanıcısı vardıdolayısıyla ihlal, daha küçük sosyal ağın kullanıcı tabanının büyük bir kısmını etkiledi.
Güvenlik araştırmacısı, bu güvenlik açığının, kullanıcıların şifrelerinin karma sürümünü elde edebilecek kötü aktörler tarafından kullanılmış olabileceğini açıkladı. Şifreler bcrypt aracılığıyla korunuyor olsa da, daha kısa şifrelerin tahmin edilmesi ve kırılması daha kolay olabilirdi. Ayrıca Hunt, hesap sahibine şifre değişikliğiyle ilgili herhangi bir e-posta bildirimi gönderilmeyeceğini, dolayısıyla hesaplarının artık kendi kontrolleri altında olup olmadığını asla bilemeyeceklerini belirtti.
Bu tür bir şey herhangi bir girişim için bir sorun olurdu, ancak özellikle kullanıcı tabanının, başka bir Twitter alternatifine geçmeden önce Spoutible’ı bir süre deneyip yarı terk edilmiş hesapları olgunlaşmış bırakan, erken benimseyenlerle dolu olduğu bir durumda. alma.
Spoutible CEO’su Christopher Bouzy, veri ihlali ve güvenlik açığını doğruladı ve şirket, kullanıcıların yeni, daha güçlü şifreler, sonrasında sorunu ele almak. Ancak aynı zamanda güvenlik açığının keşfedilmesini kendi ağına yönelik bir “saldırı” olarak nitelendirdi ve verileri toplayan kişinin Spoutible’ın itibarını zedeleme niyetinde olan biri olduğunu iddia etti.
“Biz… olaya karışan kişinin Spoutible’a bir yıldır saldıran elebaşı olduğundan eminiz.” Bouzy bir gönderide şunları söyledi:Hunt’a kazınmış kayıtları gönderen bildirimciye atıfta bulunur.
TechCrunch’a gönderdiği bir e-postada Bouzy, fikirlerini daha da ortaya koydu ve çevrimiçi grubun “ŞüpheliSaldırının arkasında geçen yılın başlarında ortaya çıkan ‘alıntı’ vardı. Bouzy, Doubtible’ın “Spoutible, ben ve topluluğumuzun önde gelen üyeleri hakkında her gün yalan tweetler attıkları” bir Twitter/X hesabı işlettiğini söyledi. “Verilerimizin izinsiz olarak kazınmasının arkasında bu grubun olduğuna kesinlikle inanıyoruz” – bir suçlama Bouzy yanıt olarak tekrarladı Trustpilot’ta yapılan bir incelemede ayrıca FBI’ı konuyla ilgili uyardığını da öne sürdü.
Bouzy, “Birisinin bir güvenlik açığını ortaya çıkarmak için 207 binden fazla kaydı kazımasına gerek yok” diye devam etti. “Ancak verileri de dahil ederek onları önemli ölçüde daha haber değeri haline getiriyor. Birisi bir şirketin itibarını zedeleyecek bir güvenlik açığını açığa çıkarmayı amaçlıyorsa, Bay Hunt gerçekten de onların ideal iletişim noktası olacaktır. Seçimlerinin ardındaki sebep açık: Bay Hunt’ın tweet’leri, blog yazısı ve takip videosu niyetleriyle mükemmel bir şekilde örtüşüyor. Bay Hunt’ın olayı sansasyonelleştirme ve tasvir etme tarzı tam olarak umdukları şeydi” diye ekledi komplocu bir tavırla.
Bouzy, güvenlik açığının, ekibinden birinin kullanıcı ayarları API’sine yönelik bir işlevi genel API için tasarlanmış bir işlevle kullanması nedeniyle ortaya çıktığını, bu nedenle şifrelenmiş e-postaların ve telefon numaralarının düz metin olarak açığa çıktığını iddia ediyor. Bu olay ışığında Spoutible’ın sistemlerini daha ayrıntılı olarak incelemek için bir güvenlik firmasıyla ortaklık kurduğunu söyledi.
Yine de birçok kişi Bouzy’yi güvenlik açığının ciddiyetini küçümsemeye çalışmakla suçladı. veri muhabiri Dan Nguyenyakın zamanda teknoloji girişimcisini yeniden paylaşan Anil Dash’in Bluesky hakkındaki gönderisi kullanıcıları “sohbetten uzak durmaları” konusunda uyarıyor. Başka bir Bluesky kullanıcısı renkli bir şekilde yönlendirme yaptı Spoutible’ın “Montezuma’nın İntikamı”na benzer şekilde kullanıcı verilerini boşaltmasına.
Veri ihlali bir startup için zaten kötü bir PR olsa da, şirketin kendisini eleştirenleri susturup susturmadığı konusunda artık sorular var.
Bir Spoutible kullanıcısı olan Mike Natale, halka açık bir şekilde CEO’yu paylaşımlarını silmekle suçladı Bouzy’yi daha şeffaf olmaya ittiği sosyal ağ sitesinde.
Başka bir Bluesky kullanıcısına yanıt olarak Natale, “Bouzy…tüm gönderilerimi sildi ve duvarımı sildi” diye yazdı.
Resim Kredisi: Mike Natale Bluesky’de (yeni bir pencerede açılır)
Başka bir cevapta, Natale açıkladı Bouzy’nin konu hakkında yorum yapmak için ilk başta Spoutible’daki gönderilerini yeniden yayınladığını, ancak daha sonra “bunun bir saldırı olduğu ve diğer şirketlerin de aynı kusurlara sahip olduğu yönündeki anlatıya” karşı çıktığı için Natale’in tüm gönderilerini sildiğini söyledi.
Eksik gönderiler, silinmelerini belirten olağan etiketi içermiyor. Spoutible’da, kaldırılan gönderilere “@user bu yanıtı sildi” yazan bir sistem notu eklenir. Örneğin, Bouzy yanıtı silmiş olsaydı, “@bouzy bu yanıtı sildi” şeklinde olurdu.
Ancak bu durumda Natale, Bluesky hakkındaki yorumlarında gönderilerin kaybolduğunu ve Spoutible ana yayınının yüklenmediğini bile söyledi.
Twitter/X hesabı Doubtible ayrıca Natale’in iddiaları hakkında da paylaşımda bulundu. Natale yorum taleplerine yanıt vermedi.
Bu arada Spoutible CEO’su Christopher Bouzy, Natale’in gönderilerini sildiğini reddediyor.
“Natale kullanıcısı ile ilgili sorunla ilgili olarak, onun gönderilerini veya hesabını silmedik. Kullanıcıların kendi içeriklerini kaldırması ve ardından bizi asılsız bir şekilde suçlaması mümkün” dedi ve yine bir komplo imasında bulundu. “İddia temelsizdir ve daha fazla tartışmayı hak etmiyor” diye bitirdi.
Spoutible’daki olay, Elon Musk’un satın alınmasından kısa bir süre sonra Twitter kullanıcılarının akınına uğradıktan sonra büyük bir güvenlik sorunu yaşayan başka bir küçük şirket olan Hive’ı akla getiriyor. Bu durumda startup, uygulama mağazasına dönmeden önce kritik kusurları düzeltmek için uygulamasını tamamen kapattı. Hive fırtınayı atlatmayı başardı ve sonunda geri döndü, ancak kaçırılan fırsatın ardından artık Twitter için bir tehdit olarak görülmüyor.
Spoutible’ın itibarının bu lekeden kurtulup kurtulmayacağı da henüz bilinmiyor.