Twitter hat am Freitag bekannt gegeben, dass ein inzwischen gepatchter Zero-Day-Bug dazu genutzt wurde, Telefonnummern und E-Mails mit Nutzerkonten auf der Social-Media-Plattform zu verknüpfen.
„Wenn jemand eine E-Mail-Adresse oder eine Telefonnummer an die Systeme von Twitter übermittelte, konnten die Systeme von Twitter der Person mitteilen, mit welchem Twitter-Account die übermittelten E-Mail-Adressen oder Telefonnummern verknüpft waren, wenn überhaupt“, so das Unternehmen in einer Mitteilung.
Twitter gab an, dass der Fehler, auf den es im Januar 2022 aufmerksam gemacht wurde, von einer Codeänderung herrührt, die im Juni 2021 eingeführt wurde. Infolge des Vorfalls wurden keine Passwörter offengelegt.
Die sechsmonatige Verzögerung bei der Veröffentlichung ist auf neue Beweise im letzten Monat zurückzuführen, dass ein nicht identifizierter Akteur die Schwachstelle vor der Behebung ausgenutzt hat, um Nutzerdaten abzugreifen und sie auf Breach-Foren gewinnbringend zu verkaufen.
Obwohl Twitter die genaue Anzahl der betroffenen Nutzer/innen nicht bekannt gegeben hat, zeigt der Forenbeitrag des Bedrohungsakteurs, dass die Sicherheitslücke ausgenutzt wurde, um eine Liste mit angeblich über 5,48 Millionen Nutzerkontenprofilen zu erstellen.
Restore Privacy, das die Sicherheitslücke Ende letzten Monats aufdeckte, gab an, dass die Datenbank für 30.000 Dollar verkauft wurde.
Twitter teilte mit, dass es dabei ist, die betroffenen Kontobesitzer/innen direkt zu benachrichtigen, und fordert die Nutzer/innen auf, die Zwei-Faktor-Authentifizierung zu aktivieren, um sich vor unbefugten Anmeldungen zu schützen.
Die Entwicklung kommt, nachdem Twitter im Mai zugestimmt hat, eine Geldstrafe in Höhe von 150 Millionen US-Dollar zu zahlen, um eine Klage des US-Justizministeriums beizulegen, in der behauptet wurde, dass das Unternehmen zwischen 2014 und 2019 Informationen, die Kontoinhaber/innen für die Sicherheitsüberprüfung zur Verfügung gestellt haben, ohne ihre Zustimmung für Werbezwecke verwendet hat.