Cuma günü Twitter, telefon numaralarını ve e-postaları sosyal medya platformundaki kullanıcı hesaplarına bağlamak için şimdi yamalı bir sıfır gün hatasının kullanıldığını açıkladı.
Güvenlik açığının bir sonucu olarak, birisi Twitter sistemlerine bir e-posta adresi veya telefon numarası gönderirse, Twitter sistemleri kişiye gönderilen e-posta adreslerinin veya varsa telefon numarasının hangi Twitter hesabıyla ilişkili olduğunu söyler” dedi. söz konusu bir danışma belgesinde.
Twitter, Ocak 2022’de farkına vardığı hatanın Haziran 2021’de yapılan bir kod değişikliğinden kaynaklandığını söyledi. Olay sonucunda hiçbir şifre açığa çıkmadı.
Bu kamuya açık hale getirmedeki altı aylık gecikme, geçen ay kimliği belirsiz bir aktörün, düzeltmeden önce kullanıcı bilgilerini sıyırmak ve İhlal Forumlarında kâr için satmak için kusurdan potansiyel olarak yararlandığına dair yeni kanıtlardan kaynaklanıyor.
Twitter, etkilenen kullanıcıların tam sayısını açıklamasa da, tehdit aktörü tarafından yapılan forum gönderisi, kusurun 5.48 milyondan fazla kullanıcı hesabı profilini içeren bir listeyi derlemek için kullanıldığını gösteriyor.
Geçen ayın sonlarında ihlali açıklayan Restore Privacy, veritabanının 30.000 dolara satıldığını söyledi.
Twitter, sorundan etkilenen hesap sahiplerini doğrudan bilgilendirme sürecinde olduğunu belirtirken, kullanıcıları yetkisiz girişlere karşı güvenlik sağlamak için iki faktörlü kimlik doğrulamayı açmaya çağırdı.
Gelişme, Mayıs ayında Twitter’ın ABD Adalet Bakanlığı’ndan şirketin 2014 ve 2019 yılları arasında güvenlik doğrulaması için sağlanan bilgileri hesap sahiplerinin rızaları olmadan reklam amaçlı olarak kullandığını iddia eden bir şikayeti çözmek için 150 milyon dolar para cezası ödemeyi kabul etmesiyle geldi.