Un gruppo di hacker ha approfittato di una vulnerabilità API di Twitter per estrarre record sia pubblici che personali degli utenti, con il risultato che sono stati ottenuti dati di ben 5,4 milioni di account, tutti poi condivisi gratuitamente sul forum Breached.
Twitter: raccolti e divulgati dati di 5,4 milioni di account
Stando a quanto comunicato dal team di BleepingComputer, la scoperta della vulnerabilità risale alla fine dello scorso anno e la falla è stata corretta a gennaio, ma ciò non ha ostacolato i malintenzionati nel riuscire ad entrare in possesso di ID, nomi, posizione, numeri di telefono, indirizzi mail, URL, numero di follower e seguiti.
Più precisamente, i dati sono stati raccolti utilizzando una vulnerabilità del'API di Twitter divulgata nel programma di bug bounty di HackerOne che permetteva alle persone di inviare numeri di telefono e indirizzi mail nell'API per recuperare l'ID Twitter associato.
Negli ultimi giorni, il proprietario del forum Breached ha confermato la sua responsabilità nello sfruttamento del bug e ai 5,4 milioni di account coinvolti sono da aggiungerne ulteriori 1,4 milioni raccolti attraverso un'API differente, ma in tal caso le informazioni non sono state diramate. In totale, comunque, gli utenti colpiti sono poco meno di 7 milioni.
I record pubblicati sul forum con informazioni private e dati di scraping pubblici sono gli stessi che erano stati messi in vendita durante l'estate e adesso sono disponibili gratis, Inoltre, pare ci sia un altro database di dimensioni ancora maggiori con numeri di telefono degli utenti colpiti, ID e informazioni pubbliche.
Da tenere presente che dati del genere potrebbero essere sfruttati per attacchi di phishing, motivo per cui è consigliabile adoperare una soluzione di sicurezza adeguata sui propri dispositivi, come nel caso di Norton 360 Premium.