توییتر افشای اطلاعات ۲۰۰ میلیون حساب کاربری این پلتفرم را تکذیب کرد

در روزهای اخیر، خبرهای زیادی درباره توییتر منتشر شده است. این پلتفرم اجتماعی ادعا می‌کند مجموعه اطلاعات فاش‌شده‌ی مربوط به آدرس ایمیل حدود ۲۴۵ میلیون حساب کاربری آن، از سیستم‌های این شبکه‌ی اجتماعی بیرون نیامده است. براساس گزارش‌های متعدد، اطلاعات بیش‌ از ۲۰۰ میلیون حساب کاربری توییتر در اوایل ماه جاری در یکی از بازارهای دارک‌وب با قیمت فقط دو دلار فروخته شد.

اگرچه آدرس‌های ایمیل مربوط به توییتر احتمالاً اطلاعات حساسی به‌نظر نمی‌رسند، این هک نگرانی‌هایی را ایجاد کرد که امکان دارد حساب‌های ناشناس شبکه‌های اجتماعی به هویت‌های دنیای واقعی مرتبط باشند و این اطلاعات هک‌کردن حساب‌ها را بسیار آسان‌تر خواهد کرد. توییتر ابتدا از پاسخ به این افشای اطلاعات خودداری کرد؛ اما اکنون یک هفته‌ بعد از اتفاق مذکور، بیانیه‌ای در این زمینه منتشر کرده است.

توییتر درباره‌ی افشای اطلاعات ۲۳۵ میلیون حساب کاربری این پلتفرم نوشت:

براساس داده‌های به‌دست‌آمده از تجزیه‌وتحلیل‌ها، هیچ مدرکی مبنی‌بر این موضوع وجود ندارد که داده‌هایی به‌فروش گذاشته‌شده به‌صورت آنلاین با استفاده از نقص امنیتی سیستم‌های توییتر به‌دست آمده‌اند. این اطلاعات احتمالاً مجموعه‌ای از داده‌هایی می‌شود که قبلاً ازطریق منابع مختلف به‌صورت آنلاین دردسترس بوده است.

- توییتر

چهارم ژانویه، Bleeping Computer بلافاصله پس‌از فاش‌شدن اطلاعات کاربران توییتر، اعتبار تعدادی از ایمیل‌ها را تأیید کرد. این پایگاه خبری که روی موضوعات مرتبط با امنیت سایبری تمرکز دارد، افشای اطلاعات ۲۳۵ میلیون حساب کاربری توییتر را به افشای اولیه‌ی ماه دسامبر گذشته مرتبط دانست که شامل شماره تلفن و ایمیل‌های مربوط به حدود ۴۰۰ میلیون حساب کاربری شبکه‌ی اجتماعی مذکور بود. این در حالی است که تعداد دقیق کاربران فعال ماهانه‌ی توییتر در دسامبر ۲۰۲۲ معادل ۳۶۸ میلیون نفر بود و به‌عبارت‌دیگر، داده‌های فاش‌شده ازنظر تئوری می‌تواند همه‌ی این حساب‌ها را دربر گیرد. به‌گفته‌ی Bleeping Computer، به‌نظر می‌رسد نشت اطلاعات در اوایل ژانویه نسخه‌ی پاک‌شده‌ی داده‌های قبلی با موارد تکراری کمتر بود.

گزارش‌های متعدد به این موضوع اشاره کردند که هر دو دسته اطلاعات فاش‌شده‌ی توییتر در ماه‌های اخیر مربوط به نقصی امنیتی است و پلتفرم اجتماعی مذکور در آگوست ۲۰۲۲ آن را رسماً تأیید کرده بود. این باگ مهلک در API به هرکسی اجازه می‌دهد اطلاعات مربوط به حساب‌های کاربری آن را دریافت کند. این آسیب‌پذیری امکان مشاهده‌ی داده‌های کاربران را براساس شناسه‌ یا جست‌وجوی تلفن و ایمیل را فراهم می‌کند و حتی نمایش‌ندادن عمومی این اطلاعات در حساب کاربران، تأثیری روی افزایش امنیت آن‌ها دربرابر باگ مذکور ندارد. همچنین، این شرکت اعتراف کرد نقص API به داده‌هایی مربوط می‌شود که یکی از هکرها آن را فروخته است و ادعا می‌کند این مشکل را به کاربران تحت‌تأثیر قرار‌گرفته‌ اطلاع داده است.

توییتر در بیانیه‌ی روز چهارشنبه‌‌اش این موضوع را رد نکرده؛ اما مدعی شده است که پس‌ از بررسی‌های داخلی، نشت اطلاعات ۴۰۰ میلیون کاربر آن در دسامبر با حادثه‌ی هک اطلاعات ۲۳۵ میلیون حساب کاربری این پلتفرم ارتباطی ندارد. افزون‌براین، این پلتفرم اجتماعی اعلام کرده است که افشای این اطلاعات ازطریق باگ‌های سیستمی آن انجام نشده است. علاوه‌براین، توییتر ادعا می‌کند داده‌های هر دو مجموعه‌ی فاش‌شده یکسان هستند و فقط در مجموعه‌ی کوچک‌تر شاهد حذف اطلاعات تکراری هستیم.

توییتر در پست وبلاگی خود خاطرنشان کرد درحال‌حاضر، با مقام‌های حفاظت از داده‌ها و سایر سازمان‌های تنظیم‌کننده‌ی مربوطه در ارتباط است تا درباره‌ی حادثه‌ی هک اخیر شفاف‌سازی کند. با‌این‌حال، شبکه‌ی اجتماعی مذکور جزئیات دیگری از چگونگی جمع‌آوری دقیق اطلاعات صدها میلیون حساب کاربری و فروش آن در بازارهای هکری ارائه نکرد.

وب‌سایت Gizmodo، برای کسب اطلاعات بیشتر با توییتر تماس گرفته است؛ اما پاسخی از این شرکت دریافت نکرد. درواقع، بخش روابط‌عمومی این شبکه‌ی اجتماعی پس‌ از روی‌کار‌آمدن ایلان ماسک، متحل شده است.

کمیسیون حفاظت از داده‌های ایرلند توییتر را به‌دلیل ارائه‌ندادن گزارش فوری و مستندسازی نقص اندروید، بیش‌ از نیم‌‌میلیون‌ دلار جریمه کرد. این رگولاتور ایرلندی در تحقیقاتی که نتیجه‌ی آن ماه دسامبر اعلام شد، آسیب‌پذیری API این پلتفرم را بررسی کرد.