Το Twitter λέει ότι ανέλυσε τις πρόσφατα διαφημιζόμενες βάσεις δεδομένων που φέρεται να περιέχουν τις πληροφορίες εκατοντάδων εκατομμυρίων χρηστών του και δεν βρήκε στοιχεία που να αποδεικνύουν την εκμετάλλευση μιας ευπάθειας.
Τον Αύγουστο του 2022, το Twitter ενημέρωσε τους πελάτες ότι ένα τρωτό σημείο στα συστήματά της είχε γίνει εκμετάλλευση για τη λήψη δεδομένων χρηστών. Το ελάττωμα, που επιδιορθώθηκε τον Ιανουάριο του 2022, χρησιμοποιήθηκε για να καθοριστεί εάν ένας καθορισμένος αριθμός τηλεφώνου ή διεύθυνση ηλεκτρονικού ταχυδρομείου ήταν συνδεδεμένος με έναν υπάρχοντα λογαριασμό Twitter.
Το Twitter επιβεβαίωσε την εκμετάλλευση της ευπάθειας αφού άρχισαν να κυκλοφορούν αναφορές ότι το ελάττωμα είχε χρησιμοποιηθεί για τη συλλογή δεδομένων για 5,4 εκατομμύρια χρήστες.
Λίγους μήνες αργότερα, ένας εμπειρογνώμονας στον κυβερνοχώρο είπε ότι είχε αποκτήσει μια βάση δεδομένων που φαινόταν να δείχνει ότι η παραβίαση δεδομένων του Twitter ήταν πολύ μεγαλύτερη από αυτή που αναφέρθηκε αρχικά, με δεκάδες εκατομμύρια επηρεασμένους λογαριασμούς.
Το Twitter είτε ότι τα στοιχεία ήταν ίδια και στις δύο περιπτώσεις, αλλά ποτέ δεν διευκρίνισε πόσοι ακριβώς χρήστες πιστεύεται ότι επηρεάζονται.
Τον Δεκέμβριο, λίγο πριν τα Χριστούγεννα, κάποιος προσφέρθηκε να πουλήσει μια βάση δεδομένων με 400 εκατομμύρια αρχεία χρηστών του Twitter φέρεται να αποκτήθηκε με την εκμετάλλευση του ίδιου ελαττώματος.
Λίγες εβδομάδες αργότερα, στις αρχές Ιανουαρίου, ένα άτομο διέρρευσε μια βάση δεδομένων που περιείχε τις πληροφορίες για περίπου 235 εκατομμύρια χρήστες Twitter, συμπεριλαμβανομένου του ονόματος, του ονόματος χρήστη, των διευθύνσεων email, του αριθμού των ακολούθων και της ημερομηνίας δημιουργίας λογαριασμού. Οι ειδικοί που ανέλυσαν τα δημόσια διαθέσιμα δεδομένα είπαν ότι πιθανότατα προήλθαν από web scarping.
Το Twitter επιβεβαίωσε την Τετάρτη ότι οι 200 εκατομμύρια εγγραφές δεν αποκτήθηκαν μέσω της εκμετάλλευσης της ευπάθειας που διορθώθηκε τον Ιανουάριο του 2022, ούτε μέσω άλλων αδυναμιών στα συστήματά του.
Επιπλέον, ο γίγαντας των μέσων κοινωνικής δικτύωσης διευκρίνισε ότι οι 200 εκατομμύρια εγγραφές στην πραγματικότητα φαίνεται να είναι το ίδιο σύνολο δεδομένων με τα 400 εκατομμύρια δίσκους που πουλήθηκαν προηγουμένως, αλλά με τις διπλές εγγραφές να έχουν αφαιρεθεί.
Η εταιρεία διευκρίνισε επίσης ότι καμία από τις βάσεις δεδομένων που διέρρευσαν δεν περιείχε κωδικούς πρόσβασης ή άλλες πληροφορίες που θα μπορούσαν να οδηγήσουν σε παραβίαση των κωδικών πρόσβασης.
«Με βάση τις πληροφορίες και τις πληροφορίες που αναλύθηκαν για τη διερεύνηση του ζητήματος, δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι τα δεδομένα που πωλούνται στο Διαδίκτυο ελήφθησαν με την εκμετάλλευση μιας ευπάθειας των συστημάτων Twitter. Τα δεδομένα είναι πιθανότατα μια συλλογή δεδομένων που είναι ήδη δημόσια διαθέσιμα στο διαδίκτυο μέσω διαφορετικών πηγών», ανέφερε το Twitter.
Η Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας (DPC) ανακοίνωσε τον Δεκέμβριο ότι είχε ξεκινήσει έρευνα ως απάντηση στις αναφορές διαρροής δεδομένων που αφορούσαν 5,4 εκατομμύρια χρήστες του Twitter.
Στη δήλωση που δημοσιεύτηκε αυτή την εβδομάδα,είπε το Twitter, «Είμαστε σε επαφή με τις Αρχές Προστασίας Δεδομένων και άλλες σχετικές ρυθμιστικές αρχές από διαφορετικές χώρες για να παρέχουμε διευκρινίσεις σχετικά με τα υποτιθέμενα περιστατικά και θα συνεχίσουμε να το κάνουμε».
Όπως το Facebook, έτσι και το Twitter έχει την ευρωπαϊκή του έδρα στην Ιρλανδία. Το Facebook και το Instagram έχουν επιβληθεί πρόστιμα εκατοντάδων εκατομμυρίων ευρώ τον περασμένο χρόνο στην Ιρλανδία για παραβιάσεις της ιδιωτικής ζωής δεδομένων.
Το άτομο που προσέφερε να πουλήσει τα 400 εκατομμύρια δίσκους ήλπιζε στην πραγματικότητα ότι τα τεράστια πρόστιμα που επιβλήθηκαν σε άλλες εταιρείες μέσων κοινωνικής δικτύωσης θα έπειθαν το Twitter να αγοράσει τα δεδομένα για να αποτρέψει τη διαρροή τους.