Twitter, Aralık 2021’de sıfır gün güvenlik açığı saldırısının hedefi oldu ve saldırıyı gerçekleştiren kişi, platformdaki 5.4 milyon kullanıcının hesap bilgilerini aldığını iddia etti. Büyük veri ihlali sonrası Twitter’dan ilk açıklama geldi.
Twitter, saldırının gerçekleştiğini resmi olarak doğruladı ve saldırı için kullanılan yöntem olan sıfır gün güvenlik açığının yamalandığını belirtti.
BleepingComputer’a göre, saldırıyı gerçekleştiren kişi, 5.4 milyon hesabın profillerini konum, URL, profil resmi ve diğer verilerle birlikte derleyip topladı. Hacker'lar, telefon numarası veya e-posta sorgulamasıyla herhangi bir aktif Twitter hesabını bulup, hesap bilgilerini almalarına izin veren bir güvenlik açığı keşfetti. Daha da önemlisi verilerin 30 bin dolara satıldığı söylendi ancak bildirildiğine göre en az iki ayrı kişiye çok daha düşük fiyatla satıldı.
Twitter, bu güvenlik açığından hata ödül programı HackerOne sayesinde bu yılın Ocak ayında haberdar oldu. Şirketin açıklamasına göre kodlarda yapılan bir güncellemeden sonra güvenlik açığı ortaya çıktı; açık bu yılın başlarında kapatıldı. Ancak sosyal medya platformu, hacker’ın hali hazırda kullanıcı verilerini elinde tuttuğunu hesaba katmadı.
Twitter, veri ihlalinden etkilenen kullanıcıları bilgilendirdiği söyledi ancak bu güvenlik açığı nedeniyle ifşa edilen her hesabı onaylayamadıklarını belirtti.