در اوایل سال 2022 بود که معلوم شد در ساختار پلتفرم توییتر آسیبپذیری بسیار خطرناکی وجود دارد که هکرها توانستهاند تا با استفاده از آن جزئیات اکانت بیش از 5.4 میلیون کاربر را از بین ببرند. حال این هکرها اطلاعات گفته شده را برای فروش دردسترس قرار دادهاند.
این هک گفته شده درمقایسهبا هک 478 میلیون مشترک سرویس ارتباطی T-Mobile که در ماه آگوست سال گذشته میلادی رخ داد، بسیار کوچک است. این موضوع حتی درمقایسهبا 70 میلیون کاربر AT&T که در اواخر همان ماه تحت تاثیر قرار گرفتند، اصلا بهچشم نمیآید.
باتوجهبه تمام مواردی که در پاراگراف قبل گفتیم، براساس ادعای مطرح شده از سوی Restore Privacy، دادههای هک شده که درحالحاضر برای فروش قرار گرفتهاند، ناشی از آسیبپذیری است که در ماه ژانویه برای اولینبار گزارش شده بود. توییتر در آن زمان وجود چنین آسیبپذیری را تایید کرد و به کاشف آن، یعنی zhirinovskiy، جایزه 5040 دلاری را پرداخت کرد.
سون تیلور، از Restore Privacy درمورد این آسیبپذیری و فروش اطلاعات کاربران توییتر میگوید:
دقیقا همانطور که zhirinovskiy در گزارش اولیه منتشر شده در ماه ژانویه در HackerOne به آن اشاره کرده بود، یک هکر درحالحاضر ادعا میکند که قصد دارد تا دادههایی که با استفاده از این آسیبپذیری بهدست آورده است را بهفروش برساند. این پست همچنان با پایگاه داده توییتر که گفته میشود متشکل از 5.4 میلیون کاربر است، دردسترس قرار دارد.
او همچنین گفت:
این فروشنده که در انجمن هک با نام کاربری devil فعالیت میکند، میگوید که در میان این دادههای گفته شده، اطلاعات اکانتهای افراد مشهور، شرکتها، افراد تصادفی و مواردی دیگر وجود دارد. ما در ادامه برای کسب اطلاعات بیشتر با فروشنده این پایگاهداده تماس گرفتیم و گفت که آن را با قیمت 30 هزار دلار برای فروش قرار داده است.
این فروشنده درحالحاضر پستی را در Breach Forums منتشر کرده است که باتوجهبه گفتههای Restore Privacy، مالک انجمن صحت این اطلاعات منتشر شده را تایید میکند. نمونهای دادههای موجود هم در پست Breach Forums گنجانده شده است. بهنظر میرسد که این اطلاعات شامل مواردی است که در پروفایلهای توییتر بهصورت عمومی قرار دارد و همچنین شماره تلفن یا آدرسهای ایمیلی که برای ورود به سیستم استفاده میشوند.
البته در بین این اطلاعات نشان داده شده هیچ رمز عبوری وجود ندارد. البته نباید این موضوع را فراموش کنیم که آن شخص به آدرس ایمیل اکانتهایی که دراختیار دارید، دسترسی کاملی را دارد و میتواند بهوسیله قابلیت فراموشی رمز عبور، بهصورتی جداگانه به رمز عبور آن اکانت برسد.
کاربران توییتر بهصورت کلی نمیتوانند از این موضوع بترسند که درنهایت دادههای منتشر شده برای هک کرد اکانت آنها استفاده خواهد شد، زیرا هیچ رمز عبوری دراختیار این هکر قرار ندارد. خریداران این اطلاعات میتوانند شرکتهای تبلیغاتی باشند که از دادههای گفته شده برای هدف قراردادن مخاطبان خود استفاده میکنند.
شرکت توییتر هنوز هیچ بیانیهای را درمورد فروش اطلاعات کاربرانش منتشر نکرده است، اما احتمالا در روزهای آینده نسبتبه آن واکنش نشان خواهد داد.