Twitter kullanıcısı 5,4 milyondan fazla kişiye ait kamuya açık olmayan bilgiler şifre kırıcı bir forumda ücretsiz paylaşıldı. Veri ihlaline uğrayanlar arasında bazı ünlülerin ve siyasetçilerin de bulunduğu bildirildi.
Paylaşılan bilgiler arasında, elektronik posta adreslerinden cep telefonu numarasına kadar birçok kişisel bilgi bulunuyor. Veri ihlalinde ayrıca Twitter kimliği, hesap giriş ismi, konumlar ve doğrulanmış statüler gibi bilgilerin de yer aldığı belirtiliyor. Bilgiler, Twitter’daki bir API (uygulama programlama arayüzü), yani farklı uygulamaların birbiriyle iletişim kurmasına olanak sağlayan bir yazılım açığı kullanılarak geçtiğimiz yıl aralık ayında çalındı.
Yazılım hatası bulma ödül programı HackerOne’ın açığı ifşa etmesi üzerine Twitter ocak ayında sorunun onarıldığını duyurdu. Ancak bu zayıflık giderilmeden önce çok sayıda tehdit unsurunun bu açıktan yararlanmış olabileceği ifade ediliyor.
Veri ihlalini duyuran Beeping Computer adlı site, bilgiler ücretsiz olarak kamuoyuyla paylaşılmadan önce, bir bilgisayar korsanı tarafından temmuz ayında 30 bin dolar karşılığında HackerOne’a satmak istediğini kaydetti. Ayrıca bu bilgilerin eylül ayında da kısa bir süre satışa sunulduğu belirtildi.
Açıklanan bilgilere göre 5,4 milyon kullanıcının yanı sıra, Twitter hesabını askıya alan 1,4 milyon kullanıcının da verileri internette gizlice paylaşıldı. Ancak Beeping Computer bu bilgilerin henüz kamuoyuyla paylaşılmadığını doğruladı.
Öte yandan bağımsız araştırmacılar bu ay açığa çıkan başka bir API açığı dolayısıyla daha da büyük bir veri kümesinin elde edilmiş olabileceğini kaydetti. Yaklaşık 17 milyon kişiyi etkilemiş olabileceği bildirilen bu ihlalin Avrupa Birliği ve Amerika Birleşik Devletleri’ndeki kullanıcıların hesaplarına ait olabileceği ve 2021’in öncesine gitmediği sanılıyor.