Fenyetési szereplők egy sérülékenységet kihasználva több millió Twitter felhasználó telefonszámát és e-mail címét szerezték meg, és kínálják eladásra 30 000 dollárért egy hacker fórumon (lásd: ábra 1).
A “devil” nicknéven posztoló hacker szerint celebritások, szervezetek és civilek adatai vegyesen találhatók az adathalomban.
Az adatszivárogtatáshoz vezető biztonsági hiba feltételezhetően az, amit a Restore Privacy cég fedezett fel, és jelentett a Twitter felé a HackerOne platformon keresztül 2022. január elsején, és ami 13-án került javításra. A hiba lehetővé tette, hogy egy támadó a Twitter Android kliens segítségével e-mail vagy telefonszám megadásával kinyerje a megadott adatokhoz tartozó egyedi Twitter azonosítót, akkor is, ha az érintett fióknál ez a biztonsági beállításoknál tiltva volt.
Az egyedi Twitter ID segítségével a hacker a kigyűjtött azonosítókhoz összegyűjtötte a publikusan elérhető adatokat, így alkotva felhasználói profilokat.
A Twitter még ellenőrzi az adatokat, miközben a BleepingComputer a hackertől kapott kis számú mintát valósnak találta, azonban ez alapján még nem állítható, hogy a teljes dump hiteles adatokat tartalmazna.
Habár a begyűjtött profiladatok nagy részt publikus információk, alkalmasak adathalász támadások indítására, ezért Twitter felhasználók számára javasolt kiemelten óvatosnak lenni az elkövetkező időszakban érkező megkeresésekkel kapcsolatban, beleértve a látszólag Twittertől érkező rendszerüzeneteket is, kiváltképp, ha az üzenetben ─ például fiókellenőrzésre hivatkozva ─ arra kérik a felhasználót, hogy adja meg a bejelentkezési adatait. Az ilyen üezenetekt jelentsük a Twitter felé!
