Το Twitter επιβεβαίωσε ότι τα προσωπικά δεδομένα τουλάχιστον 5,4 εκατομμυρίων χρηστών κλάπηκαν λόγω ευπάθειας του API, αλλά η εταιρεία είπε ότι δεν είχε «καμία απόδειξη» ότι έγινε εκμετάλλευση. Τώρα, όλοι αυτοί οι λογαριασμοί έχουν εκτεθεί σε χάκερ, ανέφερε η BleepingComputer.
Ο ιδιοκτήτης του Breached, φόρουμ hacking, ανέλαβε την ευθύνη για την εκμετάλλευση της ευπάθειας ασφαλείας και είπε ότι απέκτησε τα δεδομένα από έναν άλλο χάκερ που ονομάζεται “Devil”. Ο ίδιος ισχυρίστηκε ότι απέκτησε επίσης 1,4 εκατομμύρια προφίλ στο Twitter για λογαριασμούς που έχουν τεθεί σε αναστολή, τα οποία αποκτήθηκαν μέσω άλλου API.
Ο ειδικός σε θέματα ασφάλειας Chad Loder αποκάλυψε ότι δεκάδες εκατομμύρια ακόμη συνδέσεις στο Twitter μπορεί να έχουν συλλεχθεί χρησιμοποιώντας το ίδιο API. Τα δεδομένα που συλλέχθηκαν μπορεί να περιλαμβάνουν ιδιωτικούς αριθμούς τηλεφώνου καθώς και άλλες πληροφορίες. Ο Loder δημοσίευσε ένα διορθωμένο δείγμα στο Mastodon, καθώς είχε αποκλειστεί στο Twitter πριν από αρκετές ημέρες για άγνωστους λόγους. Θα μπορούσε να περιέχει πάνω από 17 εκατομμύρια αρχεία.
Οι παραβιάσεις διέρρευσαν ιδιωτικούς αριθμούς τηλεφώνου και διευθύνσεις email των χρηστών, οι οποίες θα μπορούσαν να χρησιμοποιηθούν για phishing και άλλες απάτες. Αυτές οι πληροφορίες θα μπορούσαν επίσης να αξιοποιηθούν για την αποκάλυψη της ταυτότητας ιδιωτικών λογαριασμών του Twitter.
