GFC NIEUWSREDACTIE- Meer dan 5,4 miljoen Twitter-gebruikersrecords met niet-openbare informatie die is gestolen met behulp van een API-kwetsbaarheid die in januari is opgelost, zijn gratis gedeeld op een hackerforum.
Een andere enorme, mogelijk belangrijkere, datadump van miljoenen Twitter-records is ook onthuld door een beveiligingsonderzoeker, wat aantoont hoe breed deze bug werd misbruikt door bedreigingsactoren.
De gegevens bestaan uit geschraapte openbare informatie, evenals privételefoonnummers en e-mailadressen die niet bedoeld zijn om openbaar te zijn.
Afgelopen juli begon een bedreigingsacteur de privé-informatie van meer dan 5,4 miljoen Twitter-gebruikers op een hackforum te verkopen voor $ 30.000.
Hoewel de meeste gegevens bestonden uit openbare informatie, zoals Twitter-ID’s, namen, aanmeldingsnamen, locaties en geverifieerde status, bevatten ze ook privégegevens, zoals telefoonnummers en e-mailadressen.
Deze gegevens werden in december 2021 verzameld met behulp van een Twitter API-kwetsbaarheid die werd onthuld in het HackerOne bug bounty-programma waarmee mensen telefoonnummers en e-mailadressen in de API konden indienen om de bijbehorende Twitter-ID op te halen.
Met behulp van deze ID kunnen de bedreigingsactoren vervolgens openbare informatie over het account schrapen om een gebruikersrecord te maken met zowel privé- als openbare informatie.
Het is onduidelijk of de HackerOne-onthulling is gelekt, maar BleepingComputer kreeg te horen dat meerdere bedreigingsactoren de bug gebruikten om privé-informatie van Twitter te stelen.
