Twitter เจอกับปัญหาข้อมูลรั่วไหล หลังจากที่มีผู้โจมตีประกาศขายข้อมูลที่มีหมายเลขโทรศัพท์ และที่อยู่อีเมลของผู้ใช้งานกว่า 5.4 ล้านบัญชี โดยข้อมูลนี้ได้ถูกประกาศขายลงใน Darkweb ในราคา 30,000 ดอลลาร์สหรัฐ
เมื่อวันที่ 21 กรกฎาคม ที่ผ่านมามีผู้ใช้งาน Darkweb ชื่อว่า “Devil” ได้ประกาศในฟอรั่มของตัวเองว่าฐานข้อมูลที่ขโมยมาได้นั้นมีข้อมูลเกี่ยวกับบัญชีต่าง ๆ รวมถึงคนดัง บริษัทต่าง ๆ และผู้ใช้รายอื่น ๆ แบบสุ่ม
BleepingComputer สอบถามไปยังแฮ็กเกอร์ผู้ประกาศขายข้อมูลได้ระบุว่าพวกเขาใช้ช่องโหว่ในการรวบรวมข้อมูลมาตั้งแต่เดือนธันวาคม 2564 และตอนนี้ข้อมูลที่พวกเขาเสนอขายในราคา 30,000 ดอลลาร์สหรัฐ ก็มีผู้ที่สนใจติดต่อมาแล้ว
ช่องโหว่นี้ได้ถูกพบโดยผู้ใช้ HackerOne ที่มีชื่อว่า “zhirinovskiy” และได้ส่งรายงานช่องโหว่ให้กับทาง Twitter ตั้งแต่เมื่อวันที่ 1 มกราคม ที่ผ่านมา และหลังจากที่มีการโพสน์รายงานช่องโหว่หลังจากนั้น 5 วัน ทาง Twitter ได้มีการแก้ไขช่องโหว่ดังกล่าวแล้ว และได้ให้รางวัล Bugbounty กับ zhirinovskiy เป็นเงิน 5,040$
ลักษณะการโจมตี
ในส่วนของวิธีการโจมตีนั้น ได้มีการใช้ช่องโหว่ที่ผู้โจมตีสามารถค้นหาบัญชีผู้ใช้ Twitter ได้จากหมายเลขโทรศัพท์ หรืออีเมล ถึงแม้ว่าผู้ใช้จะปิดฟังก์ชั่นนี้ในตัวเลือกความเป็นส่วนตัว (Privacy option) แล้วก็ตาม โดยช่องโหว่นี้เกิดขึ้นเฉพาะกับ Android client ของ Twitter
ซึ่งทาง zhirinovskiy ก็ได้บอกถึงขั้นตอน และวิธีการโจมตีโดยทำการทดสอบให้ดูดังนี้
ก่อนที่จะเริ่มทำการทดลองให้ทำการ Disable discoverability ในการตั้งค่าบัญชี Twitter ก่อน
1. ในขั้นตอนแรกจะทำการสร้าง LoginFlow โดยส่งคำขอ POST ไปที่ hxxps://api.