Сервис Twitter признал случай утечки данных, который мог раскрыть аккаунты пользователей. Хотя точных чисел не называется, ранее говорилось о раскрытии 5,4 млн идентификаторов Twitter и связанных с ними телефонных номеров и адресов электронной почты. Twitter закрыл уязвимость в январе, но мог опоздать.

Разработчики создали эту уязвимость после установки обновления за июнь 2021 года для Android-клиента. Она позволила злоумышленнику связать аккаунты пользователей с адресами электронной почты и телефонными номерами. В Twitter узнали о существовании уязвимости посредством своей программы поиска ошибок за вознаграждение в январе и сразу устранили её.

Однако в июле в BleepingComputer сообщили, что на хакерском форуме нашли базу данных с номерами телефонов и адресами электронной почты, связанными с более чем 5,4 млн аккаунтов Twitter. Хакер под ником devil говорит о 5485636 пользователях, от знаменитостей и компаний до обычных людей. За эти сведения он желает получить не менее $30000 и якобы у него уже есть предложения. 

Исследователь безопасности и охотник за программными ошибками под ником zhirinovskiy рассказал, что уязвимость давала любому желающему возможность получить идентификатор Twitter любого пользователя, введя номер телефона или адрес электронной почты. Эксплоит работал даже тогда, когда учётная запись пользователя была настроена на невозможность её обнаружения. Ошибка основана на процессе авторизации в Android-клиенте Twitter.

Хакер утверждает, что собрал данные в декабре, до закрытия уязвимости. Twitter обещает  уведомить пострадавших пользователей по электронной почте. Хотя пароли не были скомпрометированы, Twitter рекомендует применять приложения двухфакторной аутентификации или аппаратные ключи безопасности, пишет Techspot.