Hôm qua, Hacker đã đăng đàn trên diễn đàn hacker, công bố rao bán dữ liệu bị đánh cắp từ cơ sở dữ liệu chứa thông tin về nhiều tài khoản khác nhau, bao gồm người nổi tiếng, công ty và người dùng ngẫu nhiên cửa Twitter
“Xin chào, hôm nay tôi giới thiệu cho bạn dữ liệu được thu thập trên nhiều người dùng sử dụng Twitter thông qua một lỗ hổng. (Chính xác là 5485636 người dùng)”, bài đăng trên diễn đàn bán dữ liệu Twitter.
“Những người dùng này bao gồm từ Người nổi tiếng đến Công ty, Random, OG, v.v.”
Trong một cuộc trò chuyện với kẻ đe dọa, BleepingComputer được cho biết rằng họ đã sử dụng lỗ hổng để thu thập dữ liệu vào tháng 12 năm 2021. Hiện họ đang bán dữ liệu với giá 30.000 đô la và những người mua quan tâm đã tiếp cận họ.
Theo báo cáo đầu tiên của Restore Privacy, lỗ hổng được sử dụng để thu thập dữ liệu giống với lỗ hổng được tiết lộ cho Twitter thông qua HackerOne vào ngày 1 tháng 1 và được sửa vào ngày 13 tháng 1.
“Lỗ hổng bảo mật cho phép bất kỳ bên nào không có bất kỳ xác thực nào có được ID twitter (gần bằng với việc lấy tên người dùng của tài khoản) của bất kỳ người dùng nào bằng cách gửi số điện thoại / email mặc dù người dùng đã cấm hành động này trong cài đặt quyền riêng tư, “đọc tiết lộ về lỗ hổng bảo mật của nhà nghiên cứu bảo mật ‘zhirinovskiy.’
“Lỗi tồn tại do quy trình ủy quyền được sử dụng trong Ứng dụng khách Android của Twitter, đặc biệt là trong quy trình kiểm tra sự trùng lặp của tài khoản Twitter.”
Tuy nhiên, Devil nói với BleepingComputer rằng họ không liên kết với zhirinovskiy và chưa bao giờ sử dụng HackerOne.
“Tôi không muốn gặp rắc rối vì người đã báo cáo điều đó trên H1. Tôi đoán có rất nhiều người đang cố gắng kết nối anh ấy với tôi, tôi sẽ rất tức giận nếu tôi là anh ấy. Vì vậy, tôi không thể nhấn mạnh đến mức này. Tôi không có gì phải làm làm với anh ta cũng không phải H1, “kẻ đe dọa nói với BleepingComputer.
Tin tặc nói với chúng tôi rằng bạn có thể cung cấp địa chỉ email và số điện thoại cho lỗ hổng để xác định xem nó có được liên kết với tài khoản Twitter hay không và truy xuất ID của tài khoản đó.
Được trang bị ID Twitter này, họ có thể sẽ loại bỏ phần còn lại của dữ liệu công khai để tạo hồ sơ người dùng cho người dùng.
Lỗ hổng này tương tự như cách các tác nhân đe dọa lấy dữ liệu tài khoản Facebook của 533 triệu người dùng vào năm 2021.
Đăng bình luận về bài viết này