نوشته بلاگ

نقص امنیتی توییتر اطلاعات تماس ۵٫۴ میلیون حساب کاربری این پلتفرم

نقص امنیتی توییتر اطلاعات تماس ۵٫۴ میلیون حساب کاربری این پلتفرم:تقص امنیتی در توییتر باعث شده است داده‌های مربوط به جزئیات تماس (شماره‌تلفن و ایمیل) ۵٫۴ میلیون حساب کاربری این پلتفرم اجتماعی فاش شود. این داده‌ها اکنون با قیمت ۳۰ هزار دلار به‌فروش می‌رسند.

مهاجمان سایبری موفق شده‌اند با استفاده از نقص امنیتی توییتر، به‌اطلاعات تماس ۵٫۴ میلیون حساب کاربری این شبکه‌ی اجتماعی دسترسی پیدا کند. این آسیب‌پذیری امنیتی که امکان استخراج این داده‌ها را فراهم کرده، توسط توییتر نیز تأیید شده است.

به گزارش 9to5Mac، داده‌های هک شده شامل شماره‌تلفن و آدرس ایمیل مرتبط با حساب‌های کاربری است که در یکی از انجمن‌های هک به قیمت ۳۰ هزار دلار به‌فروش می‌رسند. Restore Privacy گزارش می‌دهد که این آسیب‌پذیری در ژانویه‌ی سال جاری کشف شده است. این باگ امنیتی که توییتر هم آن را تأیید کرده است، برای به‌دست آوردن اطلاعات حساب‌های کاربری ۵٫۴ میلیون‌ کاربر این شبکه‌ی اجتماعی مورد سواستفاده قرار گرفته است. درحالی‌که توییتر آسیب‌پذیری مورداشاره را پس از کشف آن در ماه ژانویه، اصلاح کرده است، پایگاه داده‌ای که گفته می‌شود از این نقص امنیتی به‌دست آمده است، اکنون در یکی از انجمن‌های محبوب هکرها به‌فروش می‌رسد.

ماجرا از آنجا شروع شد که HackerOne ماه ژانویه گزارشی درمورد آسیب‌پذیری جدید توییتر منتشر کرد که به مهاجم اجازه می‌دهد به شماره‌تلفن یا آدرس ایمیل مرتبط با حسابهای کاربری این شبکه‌ی اجتماعی دسترسی یابد؛ حتی اگر کاربر این فیلدها را در تنظمیات حریم‌خصوصی خود پنهان کرده باشد. اکنون شخص یا گروهی که با این آسیب‌پذیری، به اطلاعات میلیون‌ها کاربر توییتر دسترسی پیدا کرده، داده‌های مربوطه را برای فروش ارائه داده است. اوایل صبح امروز کاربر جدیدی در انجمن ‌Breached Forum، این داده‌ها را برای فروش قرار داد. انجمن موردبحث اوایل این ماه با فروش داده‌های مرتبط با بیش از یک میلیارد شهروند چینی، توجهات بین‌المللی را به‌خود جلب کرد.

پست مربوط به فروش داده‌های ۵٫۴ میلیون حساب‌کاربری توییتر همچنان در انجمن Breached Forums دردسترس است. فروشنده‌ی این اطلاعات، از نام کاربری Devil استفاده می‌کند و طبق ادعای وی، مجموعه‌ی داده‌ها شامل افراد مشهور، شرکت‌ها و موارد دیگر است. مالک این انجمن نیز صحت حمله را تأیید و Restore Privacy هم اظهار داشت که دو نمونه از پایگاه داده را بررسی کرده است.

پایگاه داده‌ی نمونه‌‌ی ارائه‌شده، شامل فهرست افراد مختلف از سراسر جهان است که اطلاعاتی مثل نمایه‌ی عمومی، ایمیل و شماره تلفن وی را نشان می‌دهد. بررسی نمونه‌ی داده‌ها نشان می‌دهد همه‌ی اطلاعات آن با افراد واقعی مطابقت دارند.

• جلسه استماع دادگاه توییتر و ایلان ماسک اواسط پاییز برگزار می‌شود
• حملات سایبری در سراسر جهان نسبت به سال گذشته دو برابر افزایش یافته‌اند

نقص امنیتی توییتر اطلاعات تماس ۵٫۴ میلیون حساب کاربری این پلتفرم: ماه ژانویه این آسیب‌پذیری را پوشش داد؛ نقصی که به هرکسی اجازه می‌داد با وارد کردن شماره تلفن یا ایمیل، شناسه‌ی توییتر مرتبط با آن را پیدا کند. شایان‌ذکر است توییتر برای شناسایی کاربری در پلتفرم خود از این شناسه استفاده می‌کند.

این باگ امنیتی بسیار جدی است زیرا مهاجمان با استفاده از آن می‌توانند کاربرانی را پیدا کنند که امکان جستجو ازطریق ایمیل یا شماره‌تلفن را در حساب کاربری خود محدود کرده‌اند. بدین‌ترتیب هرکسی که دانش اولیه‌ی کدنویسی را داشته باشند، قادر خواهد بود به بخش بزرگی از پایگاه کاربران توییتر دسترسی یابد. چنین داده‌هایی می‌تواند برای اهداف تبلیغاتی یا هدف‌ قراردادن افراد مشهور مورد سواستفاده قرار گیرند. علاوه‌براین، می‌توان با استفاده از آسیب‌پذیری توییتر، شناسه‌ی حساب‌های تعلیق‌شده را نیز پیدا کرد.

این احتمال وجود دارد که مهاجم، پایگاه داده‌ی شماره‌تلفن‌ و آدرس ایمیل کاربران را با استفاده از آسیب‌پذیری امنیتی سایر سرویس‌ها به‌دست آورده و سپس از این جزئیات برای جستجوی شناسه‌های مرتبط با آن‌ها در توییتر استفاده کرده باشد.

نقص امنیتی توییتر اطلاعات تماس ۵٫۴ میلیون حساب کاربری این پلتفرم:هنوز هیچ روشی برای بررسی این‌که آیا حساب کاربری شما در این داده‌ها وجود دارد یا خیر، دردرسترس نیست. مثل همیشه باید مراقب حمله‌های فیشینگ باشید؛ حمله‌هایی که در آن ایمیل‌های جعلی ازطرف شرکت‌های مشهور مثل اپل، پی‌پال یا بانک، با فریب‌دادن کاربر سعی دارند به اطلاعات حساب وی دسترسی پیدا کنند.

ازجمله تاکتیک‌های رایج فیشینگ، پیامی است که به شما می‌گوید حساب کاربری‌تان درخطر حذف‌شدن قرار دارد که در آن یک رسید جعلی به‌همراه یک پیوند مخرب برای اعتراض به ایمیل ارسال شده، دردسترس شما قرار می‌گیرد. بهترین راهکار این است که هرگز روی پیوندهای ارسال شده در چنین ایمیل‌هایی کلیک نکنید.