Ett fel i Twitters kod har gjort det möjligt för hotaktörer att länka konton till e-postadresser registrerade mot dem, vilket potentiellt avslöjar identiteten (öppnas i en ny flik) för deras operatörer, bekräftade det sociala nätverket.
I slutet av förra veckan avslöjade företaget felet i ett blogginlägg (öppnas i en ny flik), och bad om ursäkt för besväret och förklarade att problemet var löst så snart det upptäcktes.
Exploateringen drog fördel av hur Twitter hanterade misslyckade inloggningsförsök. När någon försökte logga in med en e-postadress eller ett telefonnummer, även om de angav fel lösenord, gjorde Twitter två saker:
- Berätta för användaren som angav fel lösenord
- Visa Twitter-handtaget som är kopplat till denna e-postadress eller telefonnummer (om tillämpligt)
Detta innebar att personer som driver pseudonyma konton kunde ha fått sin identitet avslöjad.
Säljer data på den mörka webben
Felet upptäcktes först i mitten av 2021. Då sa Twitter att det inte kunde hitta några bevis på övergrepp. "Det här felet är resultatet av en uppdatering av vår kod i juni 2021", skrev företaget.
Ett år senare fick Twitter veta från en nyhetsartikel att någon hade sammanställt en lista över användarkonton med denna metod och försökt sälja den.
Twitter bad om ursäkt för besväret och sa att det löste problemet så snart det blev känt, och sa att det skulle direkt meddela berörda kontoägare.
"Vi utfärdar den här uppdateringen eftersom vi inte kan bekräfta alla potentiellt påverkade konton och vi är särskilt uppmärksamma på personer med pseudonyma konton som kan vara måltavla av staten eller andra aktörer", tillade företaget. .
Mikrobloggplattformen har fått mycket uppmärksamhet på sistone, ända sedan den excentriske miljardären Elon Musk sa att han hade för avsikt att förvärva den. Framtiden för affären kommer nu att avgöras av kanslidomstolen i Delaware, efter att Musk försökt dra sig ur, påstås på grund av mängden bots som verkar på plattformen.