Уязвимость в программном обеспечении Twitter, из-за которой в прошлом году неопределенное число владельцев анонимных аккаунтов могли подвергнуться потенциальной угрозе компрометации личности, очевидно, была использована злоумышленником, сообщила компания в пятницу.
Взлом вызывает особую тревогу, поскольку многие владельцы аккаунтов в Twitter, включая правозащитников, не раскрывают свою личность в профилях по соображениям безопасности, в том числе из-за страха преследования со стороны репрессивных властей, по сообщению The Associated Press.
«Это очень плохо для многих, кто использует анонимные аккаунты», — написал в Твиттере эксперт по безопасности данных Военно-морской академии США Джефф Коссефф.
Уязвимость позволяла злоумышленникам определить при входе в систему, привязан ли конкретный номер телефона или адрес электронной почты к существующему аккаунту Twitter, тем самым раскрывая владельцев аккаунтов, сообщили в компании.
Twitter заявил, что не знает, сколько пользователей могло пострадать, и подчеркнул, что пароли не были раскрыты.
«Мы можем подтвердить, что последствия были глобальными», — сказал представитель Твиттера по электронной почте. Но «мы не можем точно определить, сколько учетных записей было затронуто, а также местонахождение их владельцев».
Признание Twitter последовало за докладом, опубликованным в прошлом месяце группой по защите конфиденциальности цифровых данных Restore Privacy, в котором подробно рассказывалось о том, как данные, предположительно полученные благодаря уязвимости, продавались на популярном хакерском форуме за 30 000 долларов.
Исследователь безопасности обнаружил дефект в январе, сообщил об этом в Twitter и получил вознаграждение в размере 5000 долларов. В компании заявили, что ошибка, появившаяся в обновлении программного обеспечения в июне 2021 года, была немедленно исправлена.
Twitter сообщил, что узнал о продаже данных на хакерском форуме из сообщений СМИ и «подтвердил, что злоумышленник воспользовался этой проблемой до того, как она была устранена».
Компания сообщила, что напрямую уведомила всех владельцев учетных записей, которые, по ее данным, пострадали.
Компания рекомендовала пользователям, желающим сохранить свою личность в тайне, не добавлять к своему аккаунту в Twitter общеизвестный номер телефона или адрес электронной почты.
«Если вы пользуетесь псевдонимным аккаунтом в Twitter, мы понимаем, какой риск может представлять подобный инцидент, и глубоко сожалеем», — говорится в сообщении.
Обнаружение взлома произошло в период, когда между Twitter и генеральным директором Tesla Илоном Маском уже велась судебная тяжба в связи с попыткой Маска отказаться от своего предыдущего предложения купить Twitter за 44 миллиарда долларов.