Sitenin API’sinin bir zamanlar kolayca istismar edilebilen bir zayıflığı vardı, bu da Twitter veri ihlaline neden oldu ve bilgisayar korsanlarının 5,4 milyon kullanıcı kimlik bilgisini çalmasına olanak tanıdı. Raporlara ve hacker forumlarındaki kullanıcıların açıklamalarına göre, şu anda internette dolaşan milyonlarca kullanıcı verisi bulunuyor.
BleepingComputer’a göre, şifreler, telefon numaraları, e-postalar ve diğer bilgileri içeren 5,4 milyon kullanıcı kaydı, çok daha geniş bir veri sızıntısı göz önüne alındığında buzdağının görünen kısmı olabilir. Verilerin ilk olarak Twitter‘dan, platformun uygulama programlama arayüzündeki (API) bir zayıflıktan yararlanılarak elde edildiği söyleniyor.
HackerOne’a göre bilgisayar korsanları, herhangi birinin telefon numarasını veya e-postasını sisteme göndererek bir kullanıcının Twitter kimliğini elde etmesinin bir yolunu keşfetti.
Twitter ilk API saldırısını ifşa etti ve milyonlarca kullanıcı kimliğini tehlikeye attı. O sırada site, veri hırsızlığından etkilendiğini doğrulayabilen kullanıcıları uyardığını belirtti. Bununla birlikte, çoğunlukla 2021’in sonlarından itibaren Birleşik Krallık, bazı AB ülkeleri ve ABD’nin bazı bölgelerinden veri çalan “bağımsız olarak faaliyet gösteren birden fazla tehdit aktörü” olduğu görülüyor. Bu ikinci Twitter veri ihlali seti 1,4 milyona kadar daha fazla profil içerebilir.
Twitter veri ihlali: Kullanıcı bilgileri ücretsiz yayınlandı
Bu hesapların kaçının yeni bilgiler içerdiği henüz belli değil. Aynı forum tartışmasında, bir siber güvenlik şifre denetleyicisi olan LeakCheck, 500 GB’tan fazla veride tespit edilen e-postaların sadece yaklaşık yüzde 12’sinin yeni olduğunu, yani daha önceki dökümlerde bulunmadığını fark etti.
Yani hesap bilgileri internette dolaşan 7 milyon kadar kullanıcı ya da eski kullanıcı olabilir.
1,4 milyon belgenin kamuya açıklanması amaçlanmamıştı, ancak yine de sızdırılmış gibi görünüyorlar. BleepingComputer’a göre veriler, başlangıçta açıklanandan çok daha fazla, yaklaşık 17 milyon kullanıcı kaydı içeriyor olabilir. Ancak tam rakam henüz yasal olarak belirlenmiş değil.
Veriler ilk olarak dark hacker forumundaki bilgisayar korsanları tarafından 30 milyon dolara satışa çıkarılmıştı, ancak bu son rapora göre, artık çevrimiçi ve ücretsiz olarak mevcut. BleepingComputer’a göre, Fransa’daki kullanıcılar için sızdırılan kayıtların 1,37 milyonuna erişildi. Sızıntıda listelenen rakamların en azından bir kısmının doğru olduğu o zamandan beri teyit edildi.
Apple, Twitter’ı AppStore’dan kaldırıyor mu?
Twitter’ın günlük 200 milyondan fazla aktif kullanıcısı olmasına rağmen, 17 milyonluk bir ihlal, en büyük olmasa da, en büyük kullanıcı veri ihlallerinden biri olarak görülebilir. Daha önce bir bilgisayar korsanı CapitalOne’dan 100 milyon müşteri bilgisi çalmış ve suçlu beş yıl şartlı tahliye cezasına çarptırılmıştı. LinkedIn toplamda 500 milyon kullanıcı profilinin çalınmasıyla uğraştı. Araç çağırma şirketi Uber, biri 2016’da ve en sonuncusu sadece birkaç ay önce olmak üzere iki büyük veri ihlali yaşadı.
Elon Musk’ın Twitter’ı satın almasının ardından 30 milyon dolara satılan verilerin neden ücretsiz hale getirildiği ise merak konusu. Bazı insanlar, sosyal mühendislik ve yakınlaştırıcı ruh programlama araçlarının herkes tarafından eşit şekilde kullanılmasından gerçekten hoşlanmadı. Muhtemelen Salomon Asch konformizm deneylerinin sonuçlarının, gündemlerinize karşıt sesleri susturamadığınızda tükenmesinden korkuyor olabilirler.
Twitter veri ihlaliyle ilgili söyleyeceklerimiz bu kadar. Bunun haricinde Elon Musk’ın Twitter 2.0’ı tanıttığını biliyor muydunuz? Detaylı bilgi için ilgili yazımıza göz atabilirsiniz.