Gegevens van miljoenen Twitter-gebruikers uitgelekt

Aanvallers gebruikten een zogenaamde zeroday-kwetsbaarheid om de e-mailadressen en telefoonnummers van miljoenen Twitter-accounts te verzamelen die enkele weken geleden te koop werden aangeboden. Dat heeft de berichtendienst zelf bevestigd.

Het datalek in kwestie is eind juli bekend geworden, toen een hacker probeerde om de telefoonnummers en e-mailadressen van 5,4 miljoen Twitter-accounts te verpatsen. De aanvaller verzamelde in december 2021 die profielen via een toen nog onbekende kwetsbaarheid in de website van Twitter.

Profielen van miljoenen gebruikers

Via de kwetsbaarheid kon iedereen een e-mailadres of telefoonnummer ingeven om te kijken of het gelinkt was aan een Twitter-account en vervolgens de account in kwestie opvragen. De aanvaller gebruikte de bug om publieke informatie over miljoenen accounts bij elkaar te schrapen. Naast adressen en telefoonnummers bevatten de profielen ook de hoeveelheid volgers, locatie, login en meer.

Volgens Twitter werd de kwetsbaarheid die verantwoordelijk was voor het lek via een HackerOne bug bounty-programma gevonden in december vorig jaar, en in januari opgelapt. Twitter zou ondertussen bezig zijn met het contacteren van slachtoffers van het lek.

In samenwerking met Data News