Twitter, tehdit aktörlerinin daha sonra bilinen bir siber suç forumunda satışa sunulan 5,4 milyon Twitter hesabının bilgilerini derlemesine izin veren bir güvenlik açığını düzelttiğini söyledi.
Güvenlik açığı, herkesin bilinen bir kullanıcının telefon numarasını veya e-posta adresini girmesine ve mevcut bir Twitter hesabına bağlı olup olmadığını öğrenmesine, potansiyel olarak takma adlı hesapların kimliklerini açığa çıkarmasına izin verdi.
İçinde kısa açıklama Cuma günü yayınlanan mikroblog devi, “Birisi Twitter sistemlerine bir e-posta adresi veya telefon numarası gönderirse, Twitter sistemleri kişiye gönderilen e-posta adreslerinin veya varsa telefon numarasının hangi Twitter hesabıyla ilişkili olduğunu söyler” dedi.
Twitter, hatayı Ocak ayında düzelttiğini söyledi – hatanın ilk olarak kod tabanına eklenmesinden altı ay sonra – sonra hata ödül raporu güvenlik açığını ifşa ettiği için 6.000 dolar ödül alan bir güvenlik araştırmacısı tarafından.
Hata ödül raporuna göre, güvenlik açığı özel veya takma adlı hesapları olan kullanıcılar için “ciddi bir tehdit” oluşturdu ve “veritabanı oluşturmak” veya “Twitter kullanıcı tabanının büyük bir bölümünü” sıralamak için kullanılabilir. 2019’un sonlarında keşfedilen ve bir güvenlik araştırmacısının 17 milyon telefon numarasını Twitter hesaplarıyla eşleştirmesine izin veren bir güvenlik açığına benziyor.
Ancak araştırmacının uyarısı çok geç geldi. Bilgisayar korsanları, 5.4 milyon Twitter hesabının e-posta adreslerini ve telefon numaralarını içeren bir veritabanı oluşturmak için bu altı aylık süre boyunca güvenlik açığından zaten yararlanmıştı.
Twitter, istismarı belirsiz bir kaynaktan öğrendiğini söyledi. basın raporu Temmuz ayında, bir siber suç forumunda “ünlülerden şirketlere” kullanıcı verilerine sahip olduğunu iddia eden bir liste ve özel veya çok aranan sosyal medya ve oyun kullanıcı adlarına atıfta bulunan OG’ler bulundu.
Twitter, “Satılık mevcut verilerin bir örneğini inceledikten sonra, sorun çözülmeden önce kötü bir aktörün sorundan yararlandığını doğruladık” dedi. “Bu sorundan etkilendiğini doğrulayabileceğimiz hesap sahiplerini doğrudan bilgilendireceğiz.”
Son yıllarda Twitter’ı vuran en son güvenlik olayı. Mayıs ayında Twitter, kullanıcıların hedefli reklamcılık için iki faktörlü kimlik doğrulamayı ayarlamak için gönderdikleri telefon numaralarını ve e-posta adreslerini kötüye kullanmasının ardından Federal Ticaret Komisyonu ile bir anlaşmada 150 milyon dolar ödemeyi kabul etti.
