Milioni di utenti di Twitter hanno visto i propri dati trapelare online

Milioni di utenti di Twitter hanno visto i propri dati trapelare online

Una vulnerabilità di Twitter scoperta e corretta per la prima volta nel gennaio 2022 sembra aver causato molti più danni di quanto si pensasse inizialmente.

Come riportato da TechRadar Pro alla fine di luglio 2022, sul dark web è stato venduto un dump di dati di informazioni sensibili sull'identità (si apre in una nuova scheda) per 5,4 milioni di utenti di Twitter. Ora, i rapporti di tracciamento indicano che non solo questo dump di dati viene offerto gratuitamente, ma che si è verificata una seconda violazione potenzialmente ancora più dannosa.

Questo, secondo BleepingComputer (si apre in una nuova scheda), contiene potenzialmente "decine di milioni di record di Twitter", inclusi numeri di telefono delle persone, stato verificato, nomi di account, ID di Twitter, biografie e pseudonimi.

autenticità accertata

I risultati sono stati originariamente pubblicati dal ricercatore di sicurezza Chad Loder, che secondo quanto riferito è stato bandito da Twitter dopo aver dato la notizia. Da allora è migrato su Mastodon e lì ha pubblicato le sue scoperte.

"Ho appena ricevuto prove di una massiccia violazione dei dati di Twitter che ha colpito milioni di account Twitter nell'UE e negli Stati Uniti. Ho contattato un campione degli account interessati e hanno confermato che i dati violati sono accurati. Questa violazione si è verificata non prima del 2021," Loder ha condiviso su Twitter in quel momento.

BleepingComputer ha analizzato un campione della violazione, che conteneva più di 1,3 milioni di numeri di telefono di utenti Twitter in Francia, e ha concluso che i numeri sono validi.

"Da allora abbiamo confermato con numerosi utenti coinvolti in questa fuga di notizie che i numeri di telefono sono validi, verificando che questa ulteriore violazione dei dati sia reale", osserva il post.

Questi numeri di telefono non facevano parte del dump di dati venduto la scorsa estate, confermando tutto tranne una seconda fuga di notizie.

BleepingComputer è riuscito anche a contattare l'autore della prima fuga di dati, un hacker che si spacciava per "Pompompurin", il quale ha confermato di non essere responsabile della seconda fuga di dati.

Pertanto, è lecito ritenere che vari attori delle minacce fossero a conoscenza del difetto di Twitter e abbiano lavorato attivamente per sfruttarlo prima che fosse inizialmente corretto.