Twitter-ը հաստատել է ավելի քան 5,4 միլիոն օգտատերերի օգտահաշիվների տվյալների խախտումը

Twitter-ը հաստատել է, որ սոցիալական ցանցի ավելի քան 5,4 միլիոն օգտատերերի արտահոսք է արել իրենց հաշվի տվյալները։ Ընկերությունը սկսեց ծանուցումներ ուղարկել տուժած օգտատերերին այն մասին, որ նրանց տվյալները, ներառյալ՝ Twitter ID-ն, անունը, ազգանունը կամ կազմակերպության անունը, հեռախոսահամարը և էլփոստի հասցեն, հրապարակային են դարձել:

Twitter-ը խոստովանել է, որ 2021 թվականի հունիսին պլատֆորմի կոդի թարմացման պատճառով սոցիալական ցանցի API-ում սխալ է հայտնվել՝ կապված գաղտնիության կարգավորումների սխալ մշակման և Twitter-ի ID-ն և օգտատիրոջ հաշվի տվյալները առանց թույլտվության վերլուծելու հնարավորության հետ:

Twitter-ն այս խոցելիության մասին տեղեկություն է ստացել 2022 թվականի հունվարին։ Մշակողներն անմիջապես շտկեցին իրավիճակը։ Մինչև այդ ընկերությունը չգիտեր, թե արդյո՞ք այս սխալը շահագործվել է չարամիտ նպատակներով: Այժմ, ուսումնասիրելով հաքերների տվյալների նմուշը, ընկերությունը հաստատել է, որ այս խոցելիությունը հայտնաբերվել է հարձակվողների կողմից վեց ամսվա ընթացքում և ակտիվորեն շահագործվել: Twitter-ը չի կարող նշել այս հաքերից տուժած օգտատերերի ճշգրիտ թիվը: Նրանց թիվը կարող է ավելի քան 5,4 միլիոն լինել։

Twitter-ը պարզաբանել է, որ հաքերները չեն բացահայտել հաշվի գաղտնաբառերը, սակայն հաշվի տվյալների բազաները կարող են օգտագործվել գրոհայինների կողմից՝ ֆիշինգի համար։ Սոցիալական ցանցը խորհուրդ է տալիս օգտատերերին փոխել գաղտնաբառերը և միացնել երկփուլային նույնականացումն իրենց աքաունթներում՝ կանխելու չարտոնված մուտքերը՝ որպես անվտանգության միջոց:

Twitter-ը սոցցանցում կեղծանուն ստեղծող օգտատերերին խորհուրդ է տալիս չօգտագործել իրենց հիմնական հեռախոսահամարը կամ էլփոստի հասցեն սոցցանցում նման աքաունթ գրանցելիս։

Հուլիսի վերջին սատանա մականունով հաքերը վաճառքի է հանել Twitter-ի 5 485 636 օգտատերերի օգտահաշվի տվյալները։ Սոցիալական ցանցի հաճախորդների անուններով, հեռախոսահամարներով և էլեկտրոնային հասցեներով տվյալների բազայի համար նա խնդրում է 30 հազար դոլար, արտահոսքը պարունակում է տարբեր ընկերությունների, պատահական օգտատերերի և աշխարհահռչակ մարդկանց հաշիվներից տեղեկություններ:

Արտահոսքի բացահայտումից հետո փորձագետներն ասացին, որ հարձակվողը կարող է վերբեռնել այս տվյալները՝ օգտագործելով Twitter բջջային հավելվածի խոցելիությունը Android-ի համար։ Դա հնարավոր է եղել Android Twitter-ի հաճախորդում թույլտվության գործընթացի սխալի պատճառով, մասնավորապես, Twitter-ի կրկնօրինակ հաշվում ստուգելու գործընթացում սխալի պատճառով:

Այս խոցելիության մասին զեկույցը հրապարակվել է անվտանգության փորձագետի կողմից HackerOne կայքում 2022 թվականի հունվարի սկզբին։ Twitter-ն ընդունել է խոցելիությունը և հաքերին վճարել 5040 դոլար պարգև: Հունվարի 13-ին սոցցանցի մշակողները շտկել են այս խոցելիությունը Android-ի բջջային տարբերակում և իրենց ներքին համակարգերում։

Twitter-ն այն ժամանակ չէր բացահայտել, թե արդյո՞ք փորձեր են եղել օգտագործել այս խոցելիությունը: Ընկերությունը հայտնել է, որ հետաքննում է ընթացիկ արտահոսքը և կզգուշացնի տուժած օգտատերերին: Մի քանի մասնագիտացված հրատարակությունների փորձագետները ստուգել են արտահոսած ցուցադրական ֆայլի որոշ հաշիվներ և պարզել, որ դրանք բոլորն իսկապես պատկանում են այնտեղ թվարկված օգտատերերին:

Սիրարփի Աղաբաբյան