Het datalek bij Twitter dat vorig maand aan het licht kwam en onlangs door het bedrijf werd bevestigd is veel groter dan in eerste instantie gemeld. Een aanvaller wist niet de gegevens van 5,4 miljoen accounts te stelen zoals eerst werd gemeld, maar van 6,7 miljoen accounts, zo meldt beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned. Het gaat namelijk ook om gegevens van geschorste accounts.

De datadiefstal was mogelijk door een kwetsbaarheid in het platform van Twitter en zorgde ervoor dat een aanvaller telefoonnummers en e-mailadressen van Twitter-accounts kon achterhalen, ook al had de gebruiker deze velden via de privacyinstellingen afgeschermd. In een verklaring bevestigde Twitter de datadiefstal en dat hierbij misbruik van een kwetsbaarheid is gemaakt.

De bug werd vorig jaar juni in de code van het platform geïntroduceerd en in januari van dit jaar verholpen, nadat Twitter hier via het bugbountyprogramma op was gewezen. In de tussentijd had een aanvaller de kwetsbaarheid echter al gebruikt om gegevens van gebruikers te stelen en die vervolgens op internet te koop aan te bieden. Het gaat om profieltekst, e-mailadressen, geografische locaties, namen, telefoonnummers, profielfoto's en gebruikersnamen van 6,7 miljoen accounts.

De gestolen profielinformatie is zowel van actieve als geschorste accounts, waarbij de 1,4 miljoen e-mailadressen van geschorste accounts op een aparte lijst werden aangeboden. De in totaal 6,7 miljoen unieke e-mailadressen van de getroffen Twitter-accounts zijn nu aan Have I Been Pwned toegevoegd. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de 6,7 miljoen e-mailadressen was 99 procent al via een ander datalek bij de zoekmachine bekend.

Bron: Security.nl