Seçimler

Twitter, 5,4 Milyon Hesabın Açığa Çıkmasına Neden Olan Yeni Güvenlik Kusurunu Bildirdi

Twitter ihbar etmek zorunda kaldı sistemlerindeki bir başka güvenlik açığı Bu, kullanıcıların bir telefon numarasının veya e-posta adresinin mevcut bir Twitter hesabına bağlı olup olmadığını ortaya çıkarmasını sağladı – bu da en az bir bilgisayar korsanının daha sonra çevrimiçi olarak satılan büyük bir Twitter hesap bilgisi listesi derlemesine yol açtı.

tarafından açıklandığı gibi heyecan:

Ocak 2022’de, hata ödül programımız aracılığıyla Twitter sistemlerindeki bir güvenlik açığıyla ilgili bir rapor aldık. Güvenlik açığının bir sonucu olarak, birisi Twitter sistemlerine bir e-posta adresi veya telefon numarası gönderirse, Twitter sistemleri kişiye gönderilen e-posta adreslerinin veya varsa telefon numarasının hangi Twitter hesabıyla ilişkili olduğunu söyler. Bunu öğrendiğimizde hemen araştırdık ve düzelttik.

Bu nedenle, esasen, kullanıcıların uygulamada da aktif olan bağlantıları bulmalarına yardımcı olmak için tasarlanmış Twitter araçlarını kullanarak, teorik olarak web’de bulduğunuz herhangi bir telefon numarasına veya e-posta adresine eklenmiş bir Twitter hesapları veritabanı oluşturabilirsiniz.

Bu büyük bir ifşa değil. 2015 yılında BuzzFeed Twitter sistemlerinde benzer bir kusur kullandı Avustralya’da aşırı sağcı bir politikacının yakıcı hesabını ortaya çıkarmak için. Ancak sorunlara yol açabilecek olan bu sürecin toplu kullanımıdır.

Tam olarak ne oldu:

“2022 Temmuz’unda, birisinin potansiyel olarak bundan yararlandığını ve derlediği bilgileri satmayı teklif ettiğini bir basın raporundan öğrendik. Satılık mevcut verilerin bir örneğini inceledikten sonra, kötü bir aktörün sorun çözülmeden önce sorundan yararlandığını doğruladık.”

Nitekim, göre BleeBilgisayarbir veritabanını derlemek için bu kusuru kullanan bir kişiyle konuşulur. 5.4 milyon Twitter hesabı profili ‘doğrulanmış bir telefon numarası veya e-posta adresi ve takipçi sayıları, ekran adı, oturum açma adı, konum, profil resmi URL’si ve diğer bilgiler gibi kazınmış genel bilgiler dahil’.

BleepingComputer adlı kişi, veri setini yaklaşık 30 bin dolara satmak istediğini ve o zamandan beri birkaç alıcının önbelleği satın aldığı bildiriliyor.

Bu büyük bir ihlal değil, çünkü bu çoğunlukla kamuya açık bilgilerdir – web’de başka yollarla ücretsiz olarak erişilemeyen hiçbir şey elde edemezsiniz. Ancak Twitter profillerini IRL kimliklerinden ayrı tutmak isteyen veya bölücü konular hakkında tweet atan kullanıcılar için, bu, insanların potansiyel olarak telefon numaralarını bu liste aracılığıyla takip edebilecekleri ve onları taciz edebilecekleri anlamına geliyor. tamamen yeni ve daha aşırı bir yol.

Aslında, kırıntıları takip ederseniz, muhtemelen bir kişinin adresini ve diğer bilgileri bu veri kümesinin bir uzantısı olarak izleyebilirsiniz. Örneğin, Twitter kullanıcısı @JohnDoe77 beğenmediğiniz bir şey söylediğini varsayalım – erişiminiz varsa bu veritabanında kullanıcı adlarını arayabilir ve listelenen bir cep telefonu numarası olup olmadığına bakabilirsiniz. Daha sonra bu numarayı çevrimiçi olarak arayabilir ve muhtemelen daha fazla iletişim bilgisi vb. bulabilirsiniz.

Verilerin kendisi aşırı bir ihlal gibi görünmeyebilir, bu nedenle Twitter hesabınıza eklenmiş gizli bilgileri ifşa etmez. Ama yine de potansiyel olarak sorunlu. Bu Twitter için iyi bir görünüm değil.

Ayrıca Twitter’ın bu tür bir veri kötüye kullanımı sorunuyla ilk kez ilgilenmediği de oluyor.

2018’de platform ortaya çıktı sorun destek formlarından biriyle ilgili olarak, kişilerin telefon numaralarının ülke kodunu, Twitter hesaplarıyla ilişkilendirilmiş olup olmadıklarını ve hesaplarının kilitlenip kilitlenmediğini ortaya çıkardı. 2019’da Twitter da fhesap güvenliği için sağlanan bazı e-posta adreslerinin ve telefon numaralarının ek olarak reklam hedefleme amacıyla, veri kullanım yönetmeliklerine aykırı olarak kullanıldığı tespit edildi.

Bunların hepsi, veri akışı anlamında nispeten küçük kusurlardır. Ancak Twitter’ın bunları yönetme ve insanların kişisel bilgilerini güvende tutma kapasitesi hakkında harika bir resim çizmiyorlar.

Elon Musk’ın devralma davasında devam eden yasal savaş göz önüne alındığında, Twitter’ın da şu anda çok dikkatli davranması gerekiyor. Şu anda Musk ve ekibi, Twitter’ın verilerini yanlış sunması ve ‘Maddi Olumsuz Etki’ oluşturması temelinde anlaşmadan ayrılmaya çalışıyor; platform artık anlaşmanın yapıldığı tarihteki kadar değerli değil.

Musk’ın ekibi, burada kilit araç olarak Twitter’ın sahte ve spam hesap numaralarını kullanıyor – ancak bunun gibi bir veri ihlali yeterince önemliyse, bu da Musk’ın yasal davasına eklenebilir ve Twitter’ın resmi temsilleri hakkında soru sormak için daha fazla zemin verebilir. daha sonra olumsuz etki oluşturabilir.

Bu ihlal o seviyeye ulaşacak gibi görünmüyor, ancak Twitter’ın sistemlerini kontrol etmesi ve yeniden kontrol etmesi ve onlara karşı kullanılabilecek önemli veri kusurları veya maruz kalma endişeleri olmadığından emin olmak için başka bir hatırlatma – hem doğrudan hem de yasal bir anlam.

Ancak şu anda Twitter, olası açıkları kapatarak ve etkilenen hesap sahiplerini doğrudan bilgilendirerek sorunu yönetmeye çalışıyor.

“Bu güncellemeyi yayınlıyoruz çünkü potansiyel olarak etkilenmiş her hesabı doğrulayamıyoruz ve özellikle devlet veya diğer aktörler tarafından hedef alınabilecek takma adlı hesapları olan kişilere dikkat ediyoruz.”

Harika değil ve bu veri kümesi yanlış ellere geçerse daha da kötüleşebilir.

Esasen, bu şu anda büyük bir sorun değil, ancak bir sorun haline gelebilir. Ve muhtemelen şimdiye kadarki en büyük hukuk savaşının ortasında, ihlalin listede yer alanlar üzerindeki doğrudan etkilerinin yanı sıra, Twitter’ın başka bir dikkat dağıtmaya ihtiyacı yok.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.