Twitter został zmuszony do zgłoszenia kolejnej luki w zabezpieczeniach swoich systemów, które umożliwiły użytkownikom odkryć, czy numer telefonu lub adres e-mail był podłączony do istniejącego konta Twitter – co doprowadziło do co najmniej jednego hakera kompilacji ogromną listę informacji o koncie Twitter, który został następnie sprzedany online.
Jak wyjaśnia Twitter:
„W styczniu 2022 roku otrzymaliśmy zgłoszenie poprzez nasz program bug bounty o luce w systemach Twittera. W wyniku tej luki, jeśli ktoś przesłał adres e-mail lub numer telefonu do systemów Twittera, systemy Twittera powiedziałyby tej osobie, z jakim kontem Twittera był związany przesłany adres e-mail lub numer telefonu, jeśli w ogóle. Kiedy dowiedzieliśmy się o tym, natychmiast zbadaliśmy sprawę i naprawiliśmy ją. „
Tak więc, zasadniczo, korzystając z narzędzi Twittera zaprojektowanych, aby pomóc użytkownikom znaleźć połączenia, które są również aktywne w aplikacji, można było teoretycznie stworzyć bazę kont Twittera dołączonych do każdego numeru telefonu lub adresu e-mail, który zlokalizowałeś w sieci.
Nie jest to jakaś ogromna rewelacja. Jeszcze w 2015 roku BuzzFeed wykorzystał podobną wadę w systemach Twittera, by odkryć konto palacza skrajnie prawicowego polityka w Australii. Ale to właśnie masowe wykorzystanie tego procesu może prowadzić do problemów.
Co właśnie nastąpiło:
„W lipcu 2022 roku dowiedzieliśmy się dzięki doniesieniom prasowym, że ktoś potencjalnie wykorzystał to i oferował sprzedaż skompilowanych przez siebie informacji. Po przejrzeniu próbki dostępnych danych na sprzedaż, potwierdziliśmy, że zły aktor wykorzystał ten problem, zanim został on zaadresowany.”
Rzeczywiście, według BleepingComputer, rozmawiał z osobą, która wykorzystała tę wadę do skompilowania bazy danych 5,4 miliona profili kont na Twitterze „w tym zweryfikowany numer telefonu lub adres e-mail, a także zeskrobane informacje publiczne, takie jak liczba followerów, nazwa ekranu, nazwa logowania, lokalizacja, adres URL zdjęcia profilowego i inne informacje”.
Osoba ta, jak twierdzi BleepingComputer, chciała sprzedać zbiór danych za około 30 tys. dolarów, a kilku nabywców podobno od tego czasu nabyło pamięć podręczną.
Nie jest to ogromne naruszenie, ponieważ jest to, w większości, publicznie dostępne informacje – nie dostajemy nic, co nie jest swobodnie dostępne w inny sposób w sieci. Ale dla użytkowników, którzy szukali zachować swój profil Twitter oddzielone od ich tożsamości IRL, lub tych, które mogą być tweeting o podzielnych tematów, to znaczy, że ludzie mogą potencjalnie śledzić ich numery telefonów, za pośrednictwem tej listy, i nękać je w zupełnie nowy, i bardziej ekstremalne, sposób.
W rzeczywistości, jeśli śledzić okruchy chleba, można prawdopodobnie śledzić osoby adres i inne informacje jako rozszerzenie tego zbioru danych. Na przykład, powiedzmy, że Twitter użytkownik @JohnDoe77 mówi coś, czego nie lubisz – można szukać ich nazwę użytkownika w tej bazie danych, jeśli masz dostęp, i zobaczyć, czy jego numer telefonu komórkowego jest wymieniony. Następnie mógłbyś wyszukać ten numer online i prawdopodobnie znaleźć dalsze informacje kontaktowe itp.
Dane same w sobie nie może wydawać się ekstremalne naruszenie, to nie ujawnia poufne informacje dołączone do konta Twitter, jak takie. Ale to nadal jest potencjalnie problematyczne. Co nie jest dobry wygląd dla Twittera.
Nie jest to również pierwszy raz, kiedy Twitter ma do czynienia z problemem nadużycia danych tego typu.
Jeszcze w 2018 roku platforma odkryła problem związany z jednym z formularzy wsparcia, który ujawnił kod kraju numerów telefonów osób, jeśli miały one jeden powiązany z ich kontem na Twitterze, a także czy ich konto zostało zablokowane. W 2019 roku Twitter odkrył również, że niektóre adresy e-mail i numery telefonów, które zostały podane w celu zabezpieczenia konta, zostały dodatkowo wykorzystane do celów targetowania reklam, z naruszeniem przepisów dotyczących wykorzystania danych.
To wszystko są stosunkowo niewielkie wady, w sensie przepływu danych. Ale nie malować wielki obraz zdolności Twittera do zarządzania takimi, i zachować ludzi dane osobowe bezpieczne.
Twitter musi również bardzo ostrożnie teraz, biorąc pod uwagę trwającą bitwę prawną w sprawie przejęcia Elon Musk. Obecnie Musk i jego zespół starają się wyjść z umowy, na podstawie tego, że Twitter błędnie przedstawił swoje dane, stanowiące „Material Adverse Effect”, co oznacza, że coś istotnego zmieniło oryginalne, uzgodnione warunki, do punktu, że platforma nie jest już tak cenna, jak to było pierwotnie w czasie umowy.
Nie wydaje się, że to naruszenie osiągnie ten poziom, ale to kolejne przypomnienie dla Twittera, aby sprawdzić i ponownie sprawdzić swoje systemy, aby upewnić się, że nie ma żadnych poważnych wad danych lub narażenia obaw, które mogłyby być wykorzystane przeciwko nim – zarówno bezpośrednio, jak i w sensie prawnym.
W tej chwili jednak Twitter pracuje nad opanowaniem problemu, zamykając potencjalny exploit i bezpośrednio powiadamiając właścicieli kont dotkniętych problemem.
„Publikujemy tę aktualizację, ponieważ nie jesteśmy w stanie potwierdzić każdego konta, które zostało potencjalnie dotknięte i jesteśmy szczególnie świadomi osób z pseudonimowymi kontami, które mogą być celem ataków państwowych lub innych aktorów”.
Nie jest świetnie, a może być znacznie gorzej, jeśli ten zbiór danych wpadnie w niepowołane ręce.
Zasadniczo nie jest to teraz poważny problem, ale może się nim stać. I w środku swojej największej bitwy prawnej, być może kiedykolwiek, Twitter nie potrzebuje innego rozproszenia – poza bezpośrednim wpływem naruszenia na tych, którzy są zawarte w liście.