Twitter, saldırganların 5,4 milyon hesaba ait telefon numaraları ve e-posta adreslerinden oluşan verileri bir güvenlik açığı kullandığı bir saldırıya uğradı. Saldırgan, elde ettiği verileri bir forumda 30 bin dolardan satışa koydu.

Bu güvenlik açığı, herkesin bir e-posta adresi veya telefon numarası göndermesine, bir Twitter hesabıyla ilişkili olup olmadığını doğrulamasına ve ilişkili hesap kimliğini almasına izin veriyor. Saldırgan daha sonra bu kimliği hesap için herkese açık bilgileri çalmak için kullanıyor.

Saldırgan, Aralık 2021’de e-posta adresi veya telefon numarası dahil olmak üzere 5,4 milyon ( saldırganın iddiasına göre tam olarak 5.485.636 kullanıcı) Twitter kullanıcısının takipçi sayıları, ekran adı, oturum açma adı, konum, profil resmi gibi genel bilgilerine erişim sağladı. Hesaplar arasında şirketler, sanatçılar ve influencerlar yer alıyor.

Twitter doğruladı

Twitter, saldırgan tarafından Aralık ayında kullanılan güvenlik açığının Ocak 2022’de bildirilen ve düzeltilen güvenlik açığıyla aynı olduğunu doğruladı.

Yapılan resmi açıklamada, «Hata, Ocak 2022’de ödül programımız aracılığıyla, birinin bir hesapla ilişkili e-postayı veya telefon numarasını tanımlamasına veya bir kişinin e-postasını veya telefon numarasını biliyorsa Twitter hesabını tanımlamasına olanak tanıyan bir güvenlik açığıyla ilgili bir rapor aldık. Bu hata, Haziran 2021’de kodumuzda yapılan bir güncellemeden kaynaklandı. Bunu öğrendiğimizde hemen araştırdık ve düzelttik. O sırada, birinin güvenlik açığından yararlandığına dair hiçbir kanıtımız yok» sözlerine yer verildi.

Bu ihlalde hiçbir şifre açığa çıkmamış olsa da, Twitter bir güvenlik önlemi olarak kullanıcılarına 2 faktörlü kimlik doğrulamayı etkinleştirmeyi tavsiye ediyor.

Söylentilere göre, 30 bin dolar değerindeki verilerin iki yeni sahibi oldu.