AfterDawn logo

Twitter-haavoittuvuus paljasti miljoonien tilien tietoja

Matti Robinson Matti Robinson

Twitter hiljattain paljasti, että sen järjestelmässä havaittiin alkuvuodesta haavoittuvuus, joka on saattanut avata pahantahtoisille vieraille mahdollisuuden kalastella käyttäjien tietoja.

Yhtiön perjantaina julkaisemassa tiedotteessa kerrotaan, että kirjautumisjärjestelmään on voinut syöttää puhelinnumeroja ja sähköpostiosoitteita ja siten voinut saada käsiinsä tietoja niiden yhteyksistä olemassa oleviin tunnuksiin.

Käytännössä kaavakkeessa on voinut selvittää onko sähköpostiosoite tai puhelinnumero jo käytössä Twitter-käyttäjällä, mutta tämän lisäksi järjestelmä on jopa paljastanut millä käyttäjätunnuksella kyseiset tiedot ovat käytössä. Luonnollisesti tämä rikkoo kaikkia tietoturvasääntöjä, ja Twitterkin sen tiedotteessaan tunnustaa, ja pahoittelee ongelmaa.

Haavoittuvuus on sittemmin korjattu, ja ei vaadi käyttäjiltä mitään erityiseisiä toimeenpiteitä, mutta yhtiö haluaa tiedottaa kuluttajia, että heidän tietojaan on siirtynyt vääriin käsiin.


Tarkemmin ottaen Twitter sai haavoittuvuudesta tiedon tammikuussa 2022, ja yhtiön mukaan kyseinen bugi on ollut koodissa kesäkuusta 2021 asti eli noin puoli vuotta.

Yhtiöllä ei ollut tietoja bugin väärinkäytöstä haavoittuvuuden löytöhetkellä, mutta Twitterin tietotoisuuteen saatettiin median toimesta viime kuussa, että jotkin tahot ovat mahdollisesti hyväksikäyttäneet järjestelmää. Hyväksikäyttäjät ovat yrittäneet myydä tietojaan verkossa. Myynnissä olleet tiedot ovat yhtiön mukaan ovat peräisin Twitterin järjestelmästä.

Bleeping Computerin mukaan hakkeri on myynyt yli 5 miljoonan tilin tietoja 30 000 dollarilla. Hakkerin mukaan tiedoissa on mukana niin julkkiksia, tavallisia käyttäjiä kuin yhtiöiden tilejä.

Vaikka monille puhelinnumeron tai sähköpostiosoitteen vuotaminen Twitter-tilin kautta ei välttämättä ole maailman pahin asia, tai ainakaan vaarallista, niin somejätti tiedostaa, että joillekin anonyymiteetti on huomattavasti tärkeämpää kuin toisille.

Niinpä Twitter päätyykin pahoittelemaan erityisesti pseudonyymien takana oleville käyttäjille, jotka voivat jatkossa parantaa tietoturvaa poistamalla Twitter-tililtä julkiset sähköposti- ja puhelinnumerotiedot.

Yhtiö myös muistuttaa hyvästä tietoturvasta kaksiosaisen autentikoinnin (2FA) avulla, vaikka tässä tapauksessa salasanoja ei vuotanutkaan.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki