HANDE BERKTAN
Yaklaşık 7 milyon Twitter profilinin özel dataları bilgisayar korsanlarının eline geçti. ABD’li milyarder teşebbüsçü Elon Musk’ın satın aldığı toplumsal medya platformu Twitter’da sular durulmuyor.
Teknoloji haberlerini içeren ve fiyatsız bilgisayar yardımı sunan bir web sitesi olan Bleeping Computer, Twitter kullanıcı kayıtlarının bir meselai Twitter ile paylaştıktan daha sonra, toplumsal medya şirketi Ocak 2022’de düzeltilen bir API yanılgısı kullanarak bir data ihlaline maruz kaldıklarını doğrulamıştı. Akabinde Temmuz ayında, bir bilgisayar korsanı 5.4 milyondan fazla Twitter kullanıcısının özel ayrıntılarını bir bilgisayar korsanlığı forumunda 30 dolara satmaya başladı.
Verilerin birden fazla Twitter kimlikleri, isimler, oturum açma isimleri, pozisyonlar ve doğrulama durumu üzere herkese açık bilgilerden oluşurken, telefon numaraları ve e-posta adresleri üzere özel ayrıntıları de içeriyordu.
Bu bilgiler, Aralık 2021’de HackerOne yanılgı ödül programında açıklanan ve insanların bağlı Twitter kimliğini almak için API’ye telefon numaraları ve e-posta adresleri göndermesine imkan tanıyan bir Twitter API güvenlik açığı kullanılarak toplanmıştı.
Breached isimli bilgisayar korsanlığı forumunun sahibi hacker Pompompurin, bu hafta sonu Bleeping Computer’a, 5.4 milyon hesabın bilgilerinin fiyatsız olarak ‘Şeytan’ olarak bilinen öbür bir bilgisayar korsanının Twitter’daki güvenlik açığını kendileriyle paylaşmasının akabinde açıktan yararlanarak dataları fiyatsız paylaştığını deklare etti.
Yaklaşık 7 milyon Twitter profilinin özel bilgileri bilgisayar korsanlarının eline geçti
Satışa sunulan 5,4 milyon kayda ek olarak, askıya alınan kullanıcılar için farklı bir API kullanılarak toplanan 1,4 milyon Twitter profili daha vardı ve bu da toplamda özel bilgiler içeren yaklaşık 7 milyon Twitter profiline ulaştı.
Bilgisayar korsanı Pompompurin, 1.4 milyon bireye ilişkin askıda olan hesaplardan oluşan bu ikinci bilgi dökümünün yayınlanmadığını ve birinci etapta birkaç kişi içinde özel olarak paylaştıklarını yazdı.
Siber hatalıların bu kayıtları artık fiyatsız olarak yayınlaması kaygı vericiyken, birebir zafiyet kullanılarak daha da büyük bir data dökümü oluşturulduğu tez edildi.
Yaklaşık 7 milyon Twitter profilinin özel dataları bilgisayar korsanlarının eline geçti. ABD’li milyarder teşebbüsçü Elon Musk’ın satın aldığı toplumsal medya platformu Twitter’da sular durulmuyor.
Teknoloji haberlerini içeren ve fiyatsız bilgisayar yardımı sunan bir web sitesi olan Bleeping Computer, Twitter kullanıcı kayıtlarının bir meselai Twitter ile paylaştıktan daha sonra, toplumsal medya şirketi Ocak 2022’de düzeltilen bir API yanılgısı kullanarak bir data ihlaline maruz kaldıklarını doğrulamıştı. Akabinde Temmuz ayında, bir bilgisayar korsanı 5.4 milyondan fazla Twitter kullanıcısının özel ayrıntılarını bir bilgisayar korsanlığı forumunda 30 dolara satmaya başladı.
Verilerin birden fazla Twitter kimlikleri, isimler, oturum açma isimleri, pozisyonlar ve doğrulama durumu üzere herkese açık bilgilerden oluşurken, telefon numaraları ve e-posta adresleri üzere özel ayrıntıları de içeriyordu.
Bu bilgiler, Aralık 2021’de HackerOne yanılgı ödül programında açıklanan ve insanların bağlı Twitter kimliğini almak için API’ye telefon numaraları ve e-posta adresleri göndermesine imkan tanıyan bir Twitter API güvenlik açığı kullanılarak toplanmıştı.
Breached isimli bilgisayar korsanlığı forumunun sahibi hacker Pompompurin, bu hafta sonu Bleeping Computer’a, 5.4 milyon hesabın bilgilerinin fiyatsız olarak ‘Şeytan’ olarak bilinen öbür bir bilgisayar korsanının Twitter’daki güvenlik açığını kendileriyle paylaşmasının akabinde açıktan yararlanarak dataları fiyatsız paylaştığını deklare etti.
Yaklaşık 7 milyon Twitter profilinin özel bilgileri bilgisayar korsanlarının eline geçti
Satışa sunulan 5,4 milyon kayda ek olarak, askıya alınan kullanıcılar için farklı bir API kullanılarak toplanan 1,4 milyon Twitter profili daha vardı ve bu da toplamda özel bilgiler içeren yaklaşık 7 milyon Twitter profiline ulaştı.
Bilgisayar korsanı Pompompurin, 1.4 milyon bireye ilişkin askıda olan hesaplardan oluşan bu ikinci bilgi dökümünün yayınlanmadığını ve birinci etapta birkaç kişi içinde özel olarak paylaştıklarını yazdı.
Siber hatalıların bu kayıtları artık fiyatsız olarak yayınlaması kaygı vericiyken, birebir zafiyet kullanılarak daha da büyük bir data dökümü oluşturulduğu tez edildi.