Twitter conferma lo zero-day utilizzato per esporre i dati di 5,4 milioni di account 3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia ConcesioPubblicato da Angelo Domeneghini in Vulnerabilità zero-day · 8 Agosto 2022Tags: #sicurezza, #twitter, #zeroday, #bug Twitter ha confermato che una recente violazione dei dati è stata causata da una vulnerabilità zero-day ora patchata utilizzata per collegare indirizzi e-mail e numeri di telefono agli account degli utenti, consentendo a un attore di minacce di compilare un elenco di 5,4 milioni di profili di account utente.Questa vulnerabilità ha consentito a chiunque di inviare un indirizzo e-mail o un numero di telefono, verificare se era associato a un account Twitter e recuperare l'ID account associato. L'attore della minaccia ha quindi utilizzato questo ID per acquisire le informazioni pubbliche per l'account.Ciò ha consentito all'autore della minaccia di creare profili di 5,4 milioni di utenti Twitter nel dicembre 2021, inclusi un numero di telefono o un indirizzo e-mail verificato, e di raccogliere informazioni pubbliche, come il conteggio dei follower, il nome visualizzato, il nome di accesso, la posizione, l'URL dell'immagine del profilo e altro informazione.A quel tempo, l'attore della minaccia vendeva i dati per $ 30.000 e aveva detto a BleepingComputer che c'erano acquirenti interessati.BleepingComputer in seguito ha appreso che due diversi attori di minacce hanno acquistato i dati a un prezzo inferiore al prezzo di vendita originale e che i dati sarebbero probabilmente stati rilasciati gratuitamente in futuro.Twitter conferma lo zero-day utilizzato per raccogliere datiOggi, Twitter ha confermato che la vulnerabilità utilizzata dall'attore delle minacce a dicembre è la stessa segnalata e risolta da loro nel gennaio 2022 come parte del loro programma di ricompense di bug HackerOne.,"Nel gennaio 2022, abbiamo ricevuto una segnalazione tramite il nostro programma di ricompense dei bug di una vulnerabilità che consentiva a qualcuno di identificare l'e-mail o il numero di telefono associato a un account o, se conosceva l'e-mail o il numero di telefono di una persona, poteva identificare il proprio account Twitter, se ne esistesse uno", ha rivelato oggi Twitter in un avviso di sicurezza."Questo bug è il risultato di un aggiornamento del nostro codice nel giugno 2021. Quando lo abbiamo appreso, lo abbiamo immediatamente esaminato e risolto. A quel tempo, non avevamo prove che suggerissero che qualcuno avesse approfittato della vulnerabilità".Come parte della divulgazione di oggi, Twitter ha dichiarato a BleepingComputer di aver già iniziato a inviare notifiche questa mattina per avvisare gli utenti interessati se la violazione dei dati ha esposto il loro numero di telefono o indirizzo e-mail.Al momento, Twitter ci dice che non è in grado di determinare il numero esatto di persone interessate dalla violazione. Tuttavia, l'attore della minaccia afferma di aver utilizzato il difetto per raccogliere i dati di 5.485.636 utenti di Twitter.Sebbene nessuna password sia stata esposta in questa violazione, Twitter sta incoraggiando gli utenti ad abilitare l'autenticazione a 2 fattori sui propri account per prevenire accessi non autorizzati come misura di sicurezza.Per coloro che utilizzano un account Twitter pseudonimo, la società di social media suggerisce di mantenere la propria identità il più anonima possibile non utilizzando un numero di telefono o un indirizzo e-mail pubblicamente noto sul proprio account Twitter."Stiamo pubblicando questo aggiornamento perché non siamo in grado di confermare tutti gli account potenzialmente interessati e siamo particolarmente attenti alle persone con account pseudonimi che possono essere presi di mira dallo stato o da altri attori", ha avvertito l'avviso di Twitter.Inoltre, poiché due diversi attori delle minacce hanno già acquistato questi dati, gli utenti dovrebbero essere alla ricerca di campagne mirate di spear-phishing che utilizzano questi dati per rubare le credenziali di accesso a Twitter.https://www.bleepingcomputer.com/news/security/twitter-confirms-zero-day-used-to-expose-data-of-54-million-accounts/