Kwetsbaarheid bij Twitter leidde tot lek van 5,4 miljoen accounts
Aanvallers gebruikten een zogenaamde zeroday-kwetsbaarheid om de e-mailadressen en telefoonnummers van miljoenen Twitter-accounts te verzamelen die enkele weken geleden te koop werden aangeboden. Dat heeft de berichtendienst zelf bevestigd.
Het datalek in kwestie raakte eind juli bekend, toen een hacker probeerde om de telefoonnummers en e-mailadressen van 5,4 miljoen Twitter-accounts te verpatsen. De aanvaller verzamelde in december 2021 die profielen via een toen nog onbekende kwetsbaarheid in de website van Twitter.
Via de kwetsbaarheid kon iedereen een e-mailadres of telefoonnummer ingeven om te kijken of het gelinkt was aan een Twitter-account en vervolgens de account in kwestie opvragen. De aanvaller gebruikte de bug om publieke informatie over miljoenen accounts bij elkaar te schrapen. Naast adressen en telefoonnummers bevatten de profielen ook de hoeveelheid volgers, locatie, login en meer.
Volgens Twitter werd de kwetsbaarheid die verantwoordelijk was voor het lek via een HackerOne bug bounty-programma gevonden in december vorig jaar, en in januari opgelapt. Twitter zou ondertussen bezig zijn met het contacteren van slachtoffers van het lek.
Fout opgemerkt of meer nieuws? Meld het hier