Haziran 2021’den Ocak 2022’ye kadar, bir Twitter uygulama programlama arayüzünde veya API’de, saldırganların e-posta adresleri gibi iletişim bilgilerini göndermesine ve varsa ilişkili Twitter hesabını karşılığında almasına olanak tanıyan bir hata vardı. Yama uygulanmadan önce saldırganlar, sosyal ağdan verileri “kazımak” için bu açıktan yararlandı. Hata, bilgisayar korsanlarının şifrelere veya DM’ler gibi diğer hassas bilgilere erişmesine izin vermese de, genellikle takma adlı Twitter hesapları ile bunlara bağlı e-posta adresleri ve telefon numaraları arasındaki bağlantıyı açığa çıkardı ve potansiyel olarak kullanıcıları tanımladı.
Yayındayken, güvenlik açığı birden çok aktör tarafından farklı veri koleksiyonları oluşturmak için kullanılmış gibi görünüyor. Yazdan beri suç forumlarında dolaşan bir tanesi, yaklaşık 5,4 milyon Twitter kullanıcısının e-posta adreslerini ve telefon numaralarını içeriyordu. Yeni ortaya çıkan devasa hazine, yalnızca e-posta adreslerini içeriyor gibi görünüyor. Ancak, verilerin geniş çapta dolaşımı, kimlik avı saldırılarını, kimlik hırsızlığı girişimlerini ve diğer bireysel hedeflemeleri körükleme riskini oluşturur.
Twitter, WIRED’in yorum taleplerine yanıt vermedi. Şirket yazdı Ağustos ayındaki bir açıklamada API güvenlik açığı hakkında: “Bunu öğrendiğimizde hemen araştırdık ve düzelttik. O sırada, birinin güvenlik açığından yararlandığına dair hiçbir kanıtımız yoktu.” Görünüşe göre, Twitter’ın telemetrisi, kötü niyetli kazımayı tespit etmek için yetersizdi.
Twitter, bir API kusuru aracılığıyla verileri toplu kazımaya maruz bırakan ilk platform olmaktan çok uzaktır ve bu tür senaryolarda, kötü niyetli istismarın bir sonucu olarak gerçekte kaç farklı veri hazinesinin var olduğu konusunda kafa karışıklığının olması yaygın bir durumdur. Yine de bu olaylar, suç ekosistemindeki kullanıcılar hakkında zaten var olan çok sayıda çalıntı veriye daha fazla bağlantı ve doğrulama eklediğinden, yine de önemlidir.
“Açıkçası, bu API güvenlik açığından haberdar olan birden çok kişi ve onu kazıyan birden çok kişi var. Farklı insanlar farklı şeyleri kazıdı mı? Kaç tane hazine var? İhlal izleme sitesi HaveIBeenPwned’in kurucusu Troy Hunt, “Hiç önemli değil” diyor. Hunt, Twitter veri setini HaveIBeenPwned’e aldı ve bunun 200 milyondan fazla hesap hakkında bilgi temsil ettiğini söyledi. E-posta adreslerinin yüzde doksan sekizi, HaveIBeenPwned tarafından kaydedilen geçmiş ihlallerde zaten açığa çıkmıştı. Hunt, hizmetinin 4.400.000 milyon e-posta abonesinin yaklaşık 1.064.000’ine bildirim e-postaları gönderdiğini söylüyor.
“İlk defa yedi rakamlı bir e-posta gönderdim,” diyor. “Tüm abone kitlemin neredeyse dörtte biri gerçekten önemli. Ancak bunun çoğu zaten orada olduğu için, bunun etki açısından uzun bir kuyruğu olan bir olay olacağını düşünmüyorum. Ancak insanları anonim hale getirebilir. Beni daha çok endişelendiren şey, mahremiyetini korumak isteyen kişiler.”