Twitter, dati di milioni di utenti gratis su forum di hacker

L'ennesimo caso di furto di dati colpisce il web: dopo WhatsApp è il turno di Twitter, con le informazioni di 5,4 milioni di account condivise gratuitamente su un forum (Breached) da un gruppo di hacker che ha approfittato di una vulnerabilità API della piattaforma per estrarre record sia pubblici che personali degli utenti.

Il fatto risale alla fine dello scorso anno, tant'è che la falla è stata corretta a gennaio. Ciò ha comunque permesso ai malintenzionati di entrare in possesso di ID, nomi, posizione, numeri di telefono, indirizzi mail, URL, numero di follower e seguiti, così come confermato dalla stessa Twitter. Come spiega BleepingComputer, i dati sono stati raccolti "utilizzando una vulnerabilità del'API di Twitter divulgata nel programma di bug bounty di HackerOne che permetteva alle persone di inviare numeri di telefono e indirizzi mail nell'API per recuperare l'ID Twitter associato".

Nel corso di questo fine settimana il proprietario del forum Breached ha confermato la sua responsabilità nello sfruttamento del bug: ai 5,4 milioni di account coinvolti sono da aggiungerne ulteriori 1,4 milioni raccolti attraverso un'API differente: in questo secondo caso, però, le informazioni non sono state pubblicate sul forum. In totale, comunque, gli utenti colpiti sono poco meno di 7 milioni.

I record pubblicati sul forum contenenti informazioni private e dati di scraping pubblici sono gli stessi che erano stati messi in vendita la scorsa estate per 30.000 dollari. Ora sono disponibili gratuitamente. Non solo: ci sarebbe un ulteriore database di proporzioni ancora maggiori (si parla di 17 milioni di account) contenente numeri di telefono degli utenti colpiti, nonché ID e informazioni pubbliche. L'esperto di sicurezza che ha scoperto il fatto ha pubblicato un sample della violazione su Mastodon dopo essere stato sospeso da Twitter.

Questi ulteriori dati sarebbero originali, nel senso che non coinciderebbero con quelli condivisi gratuitamente sul forum: le informazioni riguardano utenti americani ed europei e secondo quanto emerso sino ad oggi si tratterebbe di un autore diverso.