Berichtenplatform Twitter stelt gebruikers op de hoogte van een kwetsbaarheid in zijn systeem. Daardoor was via een telefoonnummer of e-mailadres te achterhalen of die data gekoppeld zijn aan een twitter-account.
Twitter schrijft op zijnwebsite: ‘We willen je op de hoogte stellen van een kwetsbaarheid waardoor iemand een telefoonnummer of e-mailadres in de inlogstroom kon invoeren om te proberen te achterhalen of die informatie was gekoppeld aan een bestaand Twitter-account, en zo ja, welk specifiek account.’
In januari 2022 kreeg Twitter via een bug bounty-programma een melding van een kwetsbaarheid in haar systemen. Die bug was het gevolg van een update in juni 2021. Na de melding zou de kwetsbaarheid onderzocht en verholpen zijn en waren er volgens Twitter geen aanwijzingen van misbruik van het lek.
In juli van dit jaar werd bekend dat er wel degelijk gegevens verkocht zijn op internet. Dat kon doordat die data waren buitgemaakt voordat het lek verholpen was.
Twitter noemt zelf niet om hoeveel accounts het gaat. Betrokkenen meldden eerder dat door het lek de telefoonnummers en emailadressen van 5,4 miljoen accounts konden checken. Twitter: ‘We zullen de accounteigenaren waarvan we kunnen bevestigen dat ze door dit probleem zijn getroffen rechtstreeks op de hoogte stellen.’
Twitter zegt niet iedere gebruiker van een account dat mogelijk getroffen is persoonlijk op de hoogte te kunnen stellen en kiest daarom voor openbaarmaking van het lek in een generiek bericht. Het zegt extra aandacht te besteden aan pseudonieme accounts die het doelwit kunnen zijn van staats- of andere actoren.
Twitter: ‘Als je een pseudoniem Twitter-account hebt, begrijpen we de risico’s die een incident als dit met zich mee kan brengen en betreuren we het ten zeerste dat dit is gebeurd. Om je identiteit zo versluierd mogelijk te houden, raden we je aan geen publiek bekend telefoonnummer of e-mailadres toe te voegen aan je Twitter-account.’
Hoewel er geen wachtwoorden zijn vrijgegeven raadt Twitter verder iedereen aan om tweefactorauthenticatie in te schakelen met behulp van authenticatie-apps. Ook wordt geadviseerd hardwarebeveiligingssleutels in te zetten om een account te beschermen tegen ongeoorloofd inloggen.
