Twitter sagt, es habe eine Sicherheitslücke geschlossen, die es Angreifern ermöglichte, später Informationen von 5,4 Millionen Twitter-Konten zusammenzustellen, die in einem bekannten Cybercrime-Forum zum Verkauf angeboten wurden.
Die Schwachstelle ermöglichte es jedem, eine Telefonnummer oder E-Mail-Adresse eines bekannten Benutzers einzugeben und zu erfahren, ob diese mit einem bestehenden Twitter-Konto verknüpft war, wodurch möglicherweise die Identität pseudonymer Konten preisgegeben wurde.
In einem kurze Erklärung Am Freitag veröffentlicht, sagte der Mikroblogging-Riese: „Wenn jemand eine E-Mail-Adresse oder Telefonnummer an die Systeme von Twitter übermittelte, würden die Systeme von Twitter der Person mitteilen, mit welchem Twitter-Konto die übermittelten E-Mail-Adressen oder Telefonnummern verknüpft waren, falls vorhanden.“
Twitter sagte, es habe den Fehler im Januar behoben – sechs Monate nachdem der Fehler ursprünglich in seine Codebasis eingeführt wurde – danach ein Bug-Bounty-Bericht von einem Sicherheitsforscher, der 6.000 US-Dollar für die Offenlegung der Schwachstelle erhielt.
Laut dem Bug-Bounty-Bericht stellte die Schwachstelle eine „ernsthafte Bedrohung“ für Benutzer dar, die private oder pseudonyme Konten haben, und könnte verwendet werden, um „eine Datenbank zu erstellen“ oder „einen großen Teil der Twitter-Benutzerbasis“ aufzuzählen. Es ähnelt einer Ende 2019 entdeckten Schwachstelle, die es einem Sicherheitsforscher ermöglichte, 17 Millionen Telefonnummern mit Twitter-Konten abzugleichen.
Doch die Warnung des Forschers kam zu spät. Hacker hatten die Schwachstelle bereits während dieses sechsmonatigen Fensters ausgenutzt, um eine Datenbank mit E-Mail-Adressen und Telefonnummern von 5,4 Millionen Twitter-Konten zu erstellen.
Twitter sagte, es habe von der Ausbeutung von einem nicht näher bezeichneten erfahren Pressebericht im Juli, das eine Auflistung in einem Cybercrime-Forum fand, in der behauptet wurde, Benutzerdaten „von Prominenten bis hin zu Unternehmen“ und OGs zu haben, die sich auf benutzerdefinierte oder stark nachgefragte Benutzernamen für soziale Medien und Spiele beziehen.
„Nachdem wir eine Stichprobe der zum Verkauf stehenden verfügbaren Daten überprüft hatten, bestätigten wir, dass ein schlechter Akteur das Problem ausgenutzt hatte, bevor es angesprochen wurde“, sagte Twitter. „Wir werden die Kontoinhaber direkt benachrichtigen, von denen wir bestätigen können, dass sie von diesem Problem betroffen sind.“
Es ist der jüngste Sicherheitsvorfall, der Twitter in den letzten Jahren heimgesucht hat. Im Mai stimmte Twitter einer Zahlung von 150 Millionen US-Dollar in einem Vergleich mit der Federal Trade Commission zu, nachdem das Unternehmen Telefonnummern und E-Mail-Adressen, die Benutzer für die Einrichtung der Zwei-Faktor-Authentifizierung übermittelt hatten, für gezielte Werbung missbraucht hatte.