DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Tin tặc rao bán thông tin của 5.4 triệu người dùng Twitter
Hacker đang sở hữu một cơ sở dữ liệu chứa thông tin của 5,4 triệu người dùng Twitter, có được bằng cách khai thác một lỗ hổng đã được vá của nền tảng mạng xã hội này.
Tin tặc rao bán dữ liệu đánh cắp trên diễn đàn hack nổi tiếng Breached Forums. Vào tháng 1, hacker tuyên bố đã phát hiện ra lỗ hổng cho phép tìm tài khoản Twitter bằng số điện thoại hoặc email liên quan, ngay cả khi người dùng thiết lập tùy chọn ngăn việc tìm kiếm tài khoản thông qua các thông tin này.
Nhà nghiên cứu zhirinovskiy đã báo cáo lỗ hổng này cho Twitter thông qua nền tảng thưởng lỗi HackerOne. Zhirinovskiy cho biết: "Lỗ hổng cho phép bất kỳ ai và không yêu cầu xác thực lấy được thông tin về twitter_ID của bất kỳ người dùng nào bằng cách gửi đi số điện thoại/email mặc dù người dùng đã vô hiệu hóa tùy chọn này trong cài đặt quyền riêng tư. Lỗi tồn tại do quy trình ủy quyền được sử dụng trong ứng dụng khách Android của Twitter, cụ thể là trong quy trình kiểm tra sự trùng lặp của tài khoản Twitter".
"Đây là nguy cơ nghiêm trọng, vì bất kỳ ai cũng có thể tìm kiếm thông tin tài khoản thông qua email hoặc số điện thoại. Hacker có thể tận dụng lỗ hổng này để thu thập thông tin của nhiều người dùng Twitter thông qua các công cụ tự động. Những dữ liệu này có thể được sử dụng cho mục đích quảng cáo hoặc nhắm vào những người nổi tiếng trong các hoạt động độc hại khác".
Twitter đã xác nhận sự tồn tại của lỗ hổng này và trao cho zhirinovskiy số tiền thưởng 5.040 đô la.
Theo phát hiện của trang web Restore Privacy, hacker tuyên bố rằng cơ sở dữ liệu chứa email và số điện thoại của người dùng từ những người nổi tiếng đến các công ty. Người bán cũng chia sẻ một mẫu dữ liệu dưới dạng tệp csv.
Restore Privacy cho biết: "Vài giờ sau khi bài rao bán xuất hiện, chủ sở hữu của Breach Forums đã xác minh tính xác thực của dữ liệu và cũng xác nhận rằng nó đã được trích xuất thông qua lỗ hổng được báo cáo cho HackerOne trong tháng 1".
"Chúng tôi đã tải xuống cơ sở dữ liệu mẫu để xác minh và phân tích. Nó bao gồm thông tin của người dùng từ khắp nơi trên thế giới, với thông tin hồ sơ công khai cũng như email hoặc số điện thoại của người dùng Twitter được sử dụng với tài khoản".
Người bán đồng ý bán cơ sở dữ liệu này cho bất kì ai với giá 30.000 đô la.
Tin tặc rao bán dữ liệu đánh cắp trên diễn đàn hack nổi tiếng Breached Forums. Vào tháng 1, hacker tuyên bố đã phát hiện ra lỗ hổng cho phép tìm tài khoản Twitter bằng số điện thoại hoặc email liên quan, ngay cả khi người dùng thiết lập tùy chọn ngăn việc tìm kiếm tài khoản thông qua các thông tin này.
Nhà nghiên cứu zhirinovskiy đã báo cáo lỗ hổng này cho Twitter thông qua nền tảng thưởng lỗi HackerOne. Zhirinovskiy cho biết: "Lỗ hổng cho phép bất kỳ ai và không yêu cầu xác thực lấy được thông tin về twitter_ID của bất kỳ người dùng nào bằng cách gửi đi số điện thoại/email mặc dù người dùng đã vô hiệu hóa tùy chọn này trong cài đặt quyền riêng tư. Lỗi tồn tại do quy trình ủy quyền được sử dụng trong ứng dụng khách Android của Twitter, cụ thể là trong quy trình kiểm tra sự trùng lặp của tài khoản Twitter".
"Đây là nguy cơ nghiêm trọng, vì bất kỳ ai cũng có thể tìm kiếm thông tin tài khoản thông qua email hoặc số điện thoại. Hacker có thể tận dụng lỗ hổng này để thu thập thông tin của nhiều người dùng Twitter thông qua các công cụ tự động. Những dữ liệu này có thể được sử dụng cho mục đích quảng cáo hoặc nhắm vào những người nổi tiếng trong các hoạt động độc hại khác".
Twitter đã xác nhận sự tồn tại của lỗ hổng này và trao cho zhirinovskiy số tiền thưởng 5.040 đô la.
Theo phát hiện của trang web Restore Privacy, hacker tuyên bố rằng cơ sở dữ liệu chứa email và số điện thoại của người dùng từ những người nổi tiếng đến các công ty. Người bán cũng chia sẻ một mẫu dữ liệu dưới dạng tệp csv.
Restore Privacy cho biết: "Vài giờ sau khi bài rao bán xuất hiện, chủ sở hữu của Breach Forums đã xác minh tính xác thực của dữ liệu và cũng xác nhận rằng nó đã được trích xuất thông qua lỗ hổng được báo cáo cho HackerOne trong tháng 1".
"Chúng tôi đã tải xuống cơ sở dữ liệu mẫu để xác minh và phân tích. Nó bao gồm thông tin của người dùng từ khắp nơi trên thế giới, với thông tin hồ sơ công khai cũng như email hoặc số điện thoại của người dùng Twitter được sử dụng với tài khoản".
Người bán đồng ý bán cơ sở dữ liệu này cho bất kì ai với giá 30.000 đô la.
Theo: securityaffairs
Chỉnh sửa lần cuối bởi người điều hành: