Mogelijk gegevens van tientallen miljoenen Twitter-gebruikers uitgelekt

De gegevens van tientallen miljoenen Twitter-gebruikers lijken eerder dit jaar te zijn buitgemaakt via een beveiligingsprobleem met een API. De data is inmiddels online gepubliceerd.

Beveiligingsonderzoeker Chad Loder maakte op Twitter melding van een omvangrijk datalek. Op internet zou een dataset met gegevens van tientallen miljoenen Twitter-gebruikers zijn verschenen. Kort na zijn post is het account van Loder geschorst. Hij plaatste later op Mastodon een sample van de uitgelekte dataset. De uitgelekte data omvat onder meer e-mailadressen en telefoonnummers, evenals diverse openbare gegevens die van Twitter zijn 'gescrapet'. Denk hierbij aan gebruikersnamen, Twitter-ID's, omschrijvingen en schermnamen.

Kwetsbaarheid in API

De data is volgens de website buitgemaakt via een kwetsbaarheid in een API die in januari al is verholpen. Eerder bleken via dit lek al gegevens van 5,4 miljoen Twitter-gebruikers te zijn gestolen. Deze dataset omvat eveneens e-mailadressen en telefoonsnummers. Denk daarnaast aan gescrapete data zoals de Twitter-ID, naam, gebruikersnaam, locatiegegevens, URL, omschrijving, aantal volgers, datum waarop het account is aangemaakt, aantal vrienden en de URL naar de profielfoto van gebruikers.

De gegevens van deze 5,4 miljoen gebruikers werd eerder door aanvallers op internet te koop aangeboden. Inmiddels zijn de aanvallers echter tot publicatie van de gegevens overgegaan. De gegevens zouden zowel in september al op 24 november op hackersfora zijn gedeeld.

Daarnaast meldt de eigenaar van het hackingforum 'Breached' aan BleepingComputer dat ook een derde dataset met Twitter-profielen rondgaat. Deze zou gegevens van 1,4 miljoen accounts omvatten en niet te koop worden aangeboden, maar in besloten kring door cybercriminelen worden gedeeld.