Il dump include numeri di telefono privati e indirizzi e-mail
All’inizio di quest’anno, Twitter ha confermato la violazione dei dati di almeno 5,4 milioni di utenti, persi a causa di una vulnerabilità dell’API, ma la società ha affermato di non avere “alcuna prova” che sia stata sfruttata. Ora, tutti quegli account sono finiti online, secondo quanto riferito da BleepingComputer. Stando al portale, altri 1,4 milioni di profili Twitter per utenti sospesi sono stati condivisi privatamente e un dump di dati ancora più grande con le informazioni di “decine di milioni” di altri account derivati probabilmente dalla stessa vulnerabilità. Il proprietario del forum di hacking chiamato Breached ha riferito a BleepingComputer di essere il responsabile dello sfruttamento della debolezza (originariamente ottenuto da un altro hacker chiamato “Devil”) e del dumping dei record.
Il ragazzo ha affermato di aver ottenuto anche 1,4 milioni di profili Twitter per account sospesi, ottenuti tramite un’altra API, ma condivisi solo privatamente tra poche persone. Inoltre, l’esperto di sicurezza Chad Loder ha rivelato che decine di milioni di record Twitter in più potrebbero essere stati raccolti utilizzando la stessa API. Ancora una volta, i dati raccolti possono includere numeri di telefono privati insieme a informazioni pubbliche. Loder ha pubblicato un campione su Mastodon, visto che è stato bandito da Twitter diversi giorni fa per ragioni sconosciute. Il file potrebbe contenere oltre 17 milioni di record. Il discorso è sempre lo stesso: anche se poco utili ad accedere ai profili di Twitter, le informazioni raccolte sarebbero il modo migliore per avanzare campagne di phishing e altre truffe. Tali dati potrebbero anche essere sfruttati per scoprire le vere identità di account Twitter che si celano dietro nickname e avatar.