آسیبپذیریهای روز صفر یکی از اصلیترین تهدیدها برای دنیای فناوری هستند، چونکه مرورگرهای وب مانند کروم و فایرفاکس در برابر این تهدیدات آسیبپذیر هستند.
اگرچه که گوگل با شناسایی آسیبپذیریهای روز صفر همیش در حال ارائه یکی از امنترین مرورگرهای جهان است، اما هکرها هم آرام ننشستهاند و همیشه در تلاشند تا خلاهای امنیتی را در هر سرویسی پیدا کنند. توییتر در دسامبر 2021 بود که هدف یکی از این حملات قرار گرفت و هکر مدعی شد که اطلاعات کلیدی را از 5.4 میلیون اکانت این پلتفرم به دست آورده است.
این شرکت اکنون به صورتی رسمی تایید کرده است که حمله گفته شده، رخ داده و آسیبپذیری روز صفری که هکر با استفاده از آن به سیستمهای آنها نفوذ کرده بود، برطرف شده است. در حالی که توییتر جزئیات این آسیبپذیری را اعلام کرده است، اما این واقعیت را تغییر نمیدهد که هکر هنوز اطلاعات اکانتها را در اختیار دارد.
این هکر در ماه گذشته طی مصاحبهای که با BleepingComputer داشت، گفت که میتواند پروفایلهای 5485636 اکانت را با اطلاعاتی مانند مکان، آدرس اینترنتی، عکس پروفایل و سایر اطلاعات جمعآوری کند. آنها از این آسیبپذیری استفاده کردند که به هر کسی این اجازه را میداد از یک شماره تلفن یا ایمیل برای دستری به یک اکانت فعال توییتر و سپس دریافت اطلاعات آن استفاده کند.
مهمتر از تمام موارد گفته شده، این رسانه مدعی است که دادههای به دست آمده با استفاده از این آسیبپذیری اکنون با قیمتی در حدود 30 هزار دلار فروخته میشوند. این هکر همچنین گفته بود که این امکان وجود دارد تا در آینده، اطلاعات اکانتهایی که هک کرده است را به صورتی عمومی منتشر کند که حریم خصوصی میلیونها آدم به خطر خواهد افتاد.
شرکت توییتر هم به نوبه خود اعلام کرد که در ماه ژانویه سال جاری میلادی از طریق برنامه پرداخت پاداش در ازای باگ HackerOne، از وجود این باگ مطلع شده است و افزود که آسیبپذیری پس از بهروزرسانی کد این پلتفرم در ماه ژوئن 2021 رخ داده بود. در حالی که این مشکل در اوایل سال جاری برطرف شد، اما توییتر میگوید که احتمالا اینکه هکر از قبل دادهها را در اختیار داشت باشد را در نظر نگرفته است.
توییتر در ادامه اعلام کرد که به هر کاربری که توسط این آسیبپذیری مورد حمله قرار گرفته باشد، اطلاع خواهد داد، اما پذیرفت که نمیتواند همه اکانتهایی را که به دلیل این شکاف امنیتی فاش شدهاند، تایید کند. اکانتهایی که توسط افرادی اداره میشوند که این امکان وجود دارد تا دولتها یا سایر گروههای تروریستی به دنبال آن باشند، ممکن است که از مجموعه دادههای فاش شده برای ردیابی اهداف خود استفاده کنند.
رمز عبور اکانتها در بین اطلاعات فاش شده وجود نداشته است، اما این شرکت به کاربران خود توصیه میکند که فرایند احراز هویت دو مرحلهای را برای اکانتهای خود فعال کنند. با توجه به اینکه شماره تلفن اکانتها در بین اطلاعات فاش شده وجود داشت، کاربران باید به دنبال روش جایگزینی برای تایید هویت دو مرحلهای خود باشند.