Milioane de conturi Twitter au fost compromise după ce un bug de securitate a fost exploatat de hackeri.
Înregistrările utilizatorilor a peste 5,4 milioane de persoane au fost furate printr-o vulnerabilitate cunoscută sub numele de atac API (interfață de programare a aplicațiilor), care a expus numerele de telefon private și adresele de e-mail.
Twitter a corectat problema după ce a fost făcută publică printr-un program de recompensă pentru erori în decembrie 202, totuși hackerii au profitat deja de ea și au început să vândă datele furate în iulie 2022.
Un raport de la BleepingComputer a dezvăluit întreaga amploare a breșei de securitate în weekend, Twitter confirmând că eroarea API a fost remediată abia în ianuarie 2022.
Twitter a spus că „regretă profund” că a permis ca incidentul să se întâmple într- un aviz despre încălcarea confidențialității , adăugând că va notifica în mod direct toți utilizatorii afectați.
Experții în securitate au avertizat că amploarea completă a modului în care hackerii pot exploata datele nu este încă clară.
„Aceasta este o încălcare potențial colosală care ar putea afecta milioane de oameni”, a declarat Jamie Akhtar, CEO al companiei de software CyberSmart. „Deoarece informațiile sunt disponibile, poți fi sigur că infractorii cibernetici vor încerca să le folosească.”
Alți experți în securitate i-au avertizat pe utilizatorii Twitter să fie vigilenți față de orice e-mailuri suspecte sau mesaje text care se pretinde a fi de la Twitter în săptămânile următoare.
Infractorii cibernetici care au acces la datele Twitter care nu sunt publice le-ar putea folosi pentru a efectua atacuri de tip phishing prin care oamenii sunt păcăliți să facă clic pe linkuri din e-mailuri sau mesaje care îi redirecționează către pagini concepute pentru a fura alte acreditări sau chiar bani.
„Deși datele răzuite de pe un site web pot să nu pară o încălcare normală a datelor, actorii amenințărilor pot face multe daune atunci când le cuplează cu date private, cum ar fi numerele de telefon și adresele de e-mail”, a declarat Jake Moore, consilier de securitate cibernetică la firma de protecție împotriva programelor malware ESET.
„Deodată, informațiile colectate pot deveni mult mai semnificative, pe măsură ce infractorii cibernetici sunt apoi capabili să încerce o varietate de atacuri de phishing asupra conturilor și să obțină acces ilegal suplimentar la mai multe conturi. [Aceste tipuri de] vulnerabilități pot cauza daune semnificative, dar de obicei sunt corectate rapid, așa cum a fost cazul cu aceasta, cu toate acestea, actorii nefericiți au abuzat, din păcate, de această exploatare cât timp sunt disponibile.”
