#تكنولوجيا: تويتر تكشف عن اصلاح ثغرة أمنية أظهرت معلومات 5.4 مليون حساب، وتكافئ مكتشفها
المصدر: ميناتك ذكرت شركة تويتر في اعلان عن نجاحها في إصلاح الخلل الأمني الذي أدى إلى كشف 5.4 مليون من حساباتها. حيث سمحت تلك الثغرة الأمنية لبعض الجهات بالتهديد بجمع معلومات عن الحسابات المتضررة.
بسبب تلك الثغرة الأمنية، أصبح من المتاح لأي شخص إدخال رقم هاتف، أو عنوان أي بريد إلكتروني، ومعرفة ما إذا كان هذا الرقم أو البريد الإلكتروني مرتبطاً بحساب على تويتر. ممّا يسمح بكشف هوية مالكي حسابات تويتر المستعارة.
حيث قالت الشركة في ببيان صادر عنها: “إذا قدم شخص ما عنوان بريد إلكتروني أو رقم هاتف لأنظمة تويتر، فإنّ أنظمة تويتر ستخبر الشخص بحساب تويتر المرتبط بعناوين البريد الإلكتروني، أو رقم الهاتف إن وجد”.
كان (BuzzFeed) قد استخدم عيبًا مشابهًا في أنظمة تويتر في عام 2015. حيث استغل هذه الثغرة للكشف عن الحساب المشتعل لسياسيّ متطرف في أستراليا. وعلى الرغم من أنّ هذا كان مفيداً، إلا أنّ الاستخدام الواسع لهذه العملية هو الذي قد يؤدي إلى مشاكل.
وهو ما حدث بالضبط في هذه المرّة، حيث ورد في التقارير أنّ المتسللين استغلوا بالفعل الثغرة الأمنية قبل تثبيتها، لإنشاء قاعدة بيانات لعناوين البريد الإلكتروني وأرقام الهواتف لـ 5.4 مليون حساب على تويتر.
حيث قالت تويتر: “في يوليو 2022 ، علمنا من خلال تقرير صحفي أن شخصًا ما قد استفاد من هذا وكان يعرض بيع المعلومات التي جمعوها. وبعد مراجعة عينة من البيانات المتاحة للبيع، تأكدنا أن جهة فاعلة سيئة قد استفادت من المشكلة قبل معالجتها. لذلك، سنقوم مباشرة بإخطار مالكي الحسابات الذين يمكننا تأكيد تأثرّهم بهذه المشكلة”.
وبعد التواصل مع الشخص الذي استغل الخلل الأمني، تبين أنّه جمع قاعدة بيانات تضم 5.4 مليون ملف تعريف حساب تويتر. بما في ذلك رقم هاتف أو عنوان بريد إلكتروني تمّ التحقق منه، ومعلومات عامة كاشفة، مثل عدد المتابعين، واسم الشاشة، واسم تسجيل الدخول، والموقع وعنوان URL لصورة الملف الشخصي ومعلومات أخرى.
حيث كان يتطلع إلى بيع مجموعة البيانات بحوالي 30 ألف دولار. ويقال إنّ العديد من المشترين حصلوا على ذاكرة التخزين المؤقت منذ ذلك الحين.
يُذكر أنّه تمّت الإشارة إلى الثغرة في أحد تقارير الباحثين الأمنيين في برنامج مكافآت اكتشاف الثغرات الأمنية (Bounty Bug) من تويتر، وذلك في يونيو 2021. ولكنّ الشركة قامت بالتحقيق في الأمر وإصلاحه في يناير 2022، أي عد 6 أشهر من إدخال الخطأ إلى قاعدة الرموز الخاصة به. وقد كافأت تويتر الباحث الأمني المكتشف للثغرة بمبلغ 6000 دولار.
بسبب تلك الثغرة الأمنية، أصبح من المتاح لأي شخص إدخال رقم هاتف، أو عنوان أي بريد إلكتروني، ومعرفة ما إذا كان هذا الرقم أو البريد الإلكتروني مرتبطاً بحساب على تويتر. ممّا يسمح بكشف هوية مالكي حسابات تويتر المستعارة.
حيث قالت الشركة في ببيان صادر عنها: “إذا قدم شخص ما عنوان بريد إلكتروني أو رقم هاتف لأنظمة تويتر، فإنّ أنظمة تويتر ستخبر الشخص بحساب تويتر المرتبط بعناوين البريد الإلكتروني، أو رقم الهاتف إن وجد”.
كان (BuzzFeed) قد استخدم عيبًا مشابهًا في أنظمة تويتر في عام 2015. حيث استغل هذه الثغرة للكشف عن الحساب المشتعل لسياسيّ متطرف في أستراليا. وعلى الرغم من أنّ هذا كان مفيداً، إلا أنّ الاستخدام الواسع لهذه العملية هو الذي قد يؤدي إلى مشاكل.
وهو ما حدث بالضبط في هذه المرّة، حيث ورد في التقارير أنّ المتسللين استغلوا بالفعل الثغرة الأمنية قبل تثبيتها، لإنشاء قاعدة بيانات لعناوين البريد الإلكتروني وأرقام الهواتف لـ 5.4 مليون حساب على تويتر.
حيث قالت تويتر: “في يوليو 2022 ، علمنا من خلال تقرير صحفي أن شخصًا ما قد استفاد من هذا وكان يعرض بيع المعلومات التي جمعوها. وبعد مراجعة عينة من البيانات المتاحة للبيع، تأكدنا أن جهة فاعلة سيئة قد استفادت من المشكلة قبل معالجتها. لذلك، سنقوم مباشرة بإخطار مالكي الحسابات الذين يمكننا تأكيد تأثرّهم بهذه المشكلة”.
وبعد التواصل مع الشخص الذي استغل الخلل الأمني، تبين أنّه جمع قاعدة بيانات تضم 5.4 مليون ملف تعريف حساب تويتر. بما في ذلك رقم هاتف أو عنوان بريد إلكتروني تمّ التحقق منه، ومعلومات عامة كاشفة، مثل عدد المتابعين، واسم الشاشة، واسم تسجيل الدخول، والموقع وعنوان URL لصورة الملف الشخصي ومعلومات أخرى.
حيث كان يتطلع إلى بيع مجموعة البيانات بحوالي 30 ألف دولار. ويقال إنّ العديد من المشترين حصلوا على ذاكرة التخزين المؤقت منذ ذلك الحين.
يُذكر أنّه تمّت الإشارة إلى الثغرة في أحد تقارير الباحثين الأمنيين في برنامج مكافآت اكتشاف الثغرات الأمنية (Bounty Bug) من تويتر، وذلك في يونيو 2021. ولكنّ الشركة قامت بالتحقيق في الأمر وإصلاحه في يناير 2022، أي عد 6 أشهر من إدخال الخطأ إلى قاعدة الرموز الخاصة به. وقد كافأت تويتر الباحث الأمني المكتشف للثغرة بمبلغ 6000 دولار.
