5,4 miljoen e-mailadressen en telefoonnummers Twitter-accounts gelekt
Twitter loste begin januari een beveiligingsprobleem op in zijn Android-client, nadat deze door een beveiligingsonderzoeker was aangeboden op bugbountyplatform HackerOne. Het lijkt er nu op dat de beveiligingsonderzoeker niet de enige partij was die bekend was met de kwetsbaarheid. Via het Breach Forums-platform biedt een onbekende hackersgroepering een database aan met gegevens afkomstig van Twitter. In totaal bevat de database 5.485.636 e-mailadressen en telefoonnummers van Twitter-gebruikers.
Beroemdheden en bedrijven op Twitter
Volgens de hacker bevat de database onder andere e-mailadressen en telefoonnummers die van bedrijven en beroemdheden afkomstig zijn. Onbekend is of deze claim juist is. Restore Privacy heeft wel kunnen vaststellen dat het gaat om authentieke gegevens. Zicht op alle gegevens is er momenteel niet; de hacker heeft aangegeven ten minste 30.000 dollar te willen ontvangen voor de database.
Aanvallers verzamelden de gegevens via het lek dat in detail is beschreven op HackerOne. De gegevens werden in december 2021 verzameld, voordat de beveiligingsonderzoeker het lek op het bugbountyplatform had aangeboden; dat gebeurde op 1 januari 2022. Daaropvolgend wist de socialmediagigant het beveiligingslek op 13 januari te dichten. Het lek bevond zich specifiek in het authenticatieproces dat werd gebruikt voor de Android-client van Twitter. Hierdoor kon iedereen Twitter ID’s achterhalen middels een telefoonnummer of e-mailadres. Authenticatie was daarvoor geen vereiste.
Link tussen hacker en onderzoeker
Ondanks dat de hackaanval vlak voor de publicatie van het lek op HackerOne plaatsvond, is er geen connectie tussen de onderzoeker en de hacker, meldt Bleepingcomputer. De hacker zegt in het interview met de publicatie niet actief te zijn op het bugbountyplatform.
De wijze waarop de gegevens door de hacker zijn verzameld, heeft veel weg van de aanval op Facebook in 2021. Daarbij werden accountgegevens van 533 miljoen gebruikers ‘gescrapt’ van Facebook-profielen. Door de Twitter-ID’s, die veel op gebruikersnamen lijken, te verzamelen kon openbare data van de profielen verzameld worden. Dit is gecombineerd met de bekende e-mailadressen of telefoonnummers. Twitter heeft nog niet gereageerd op de gelekte database.