האקרים איתרו דרך לחשיפת החשבונות הסודיים שלכם בטוויטר

אם אתם בעלי יותר מחשבון אחד בטוויטר, ונניח שמלבד חשבונכם הרגיל יש לכם חשבונות נוספים, תחת שם בדויק ועם כינוי כלשהו שאיש לא אמור לדעת מי משויך אליהם ונמצא מאחוריהם – אפשר שהסוד שלכם נחשף על ידי האקרים ואף הופץ למתעניינים בדבר. 

בפוסט שעלה ביום ו' האחרון לבלוג החברה, תחת הכותרת "תקרית המשפיעה על כמה חשבונות ומידע פרטי בטוויטר", התוודתה הרשת החברתית המצייצת על הפרת פרטיות שהתרחשה בשירות, אחרי שהאקרים הצליחו לאתר דרך לחיבור חשבונות בשמוצת בדויים/אנונימיים אל בעליהם.

"ברצוננו ליידע אתכם על פגיעות שאפשרה למישהו להזין מספר טלפון או כתובת דוא"ל לתוך מנגנון הכניסה, בניסיון ללמוד אם המידע הזה קשור לחשבון טוויטר קיים, ואם כן – לאיזה חשבון ספציפי", ציינה החברה בפוסט. היא המשיכה וכתבה: "אנו לוקחים עלינו את האחריות להגן על פרטיותכם ברצינות רבה, וזה מצער שהדבר קרה. על אף שאין כל פעולה ספציפית שעליכם לנקוט בנושא הזה, אנחנו רוצים לשתף עוד על מה שקרה, על הצעדים שנקטנו ועל כמה שיטות עבודה מומלצות לשמירה על אבטחת החשבון שלכם".

פרשה שראשיתה ביוני 2021 או רק בינואר 2022?

לפי טוויטר, בינואר 2022, החברה קיבלה דיווח דרך תוכנית הבאגים שלה על פגיעות במערכותיה. כתוצאה מהפגיעות, אם מישהו הזין כתובת דוא"ל או מספר טלפון אל המערכות של הפלטפורמה, הן גילו לאותו אדם לאיזה חשבון טוויטר כתובות האימייל או מספר הטלפון שהוזנו משויכים, אם בכלל.

החברה הדגישה כי הבאג נבע מ"עדכון של הקוד שלנו ביוני 2021", ולדבריה, כשנודע לה על כך, מיד חקרה ותיקנה אותו.

טוויטר הדגישה כי "באותו זמן, לא היו לנו ראיות המצביעות על כך שמישהו ניצל את הפגיעות", אך באחרונה, ביולי 2022, היא למדה באמצעות דיווח לעיתונות שהיה מי שמינף את הבאג – האקר בודד או קבוצת האקרים – וכי מידע שנחשף באמצעות הפרצה, ושנאסף על ידי אותו גורם, הוצע למכירה. טוויטר עדכנה גם כי "לאחר שבדקנו מדגם מהנתונים הזמינים למכירה, אישרנו ששחקן גרוע אכן ניצל את הבעיה לפני שהיא טופלה".

החברה התחייבה להודיע ישירות לבעלי החשבונות שהיא יודעת בוודאות כי נפגעו מהמצב, אך הדגישה: "אנו מפרסמים את העדכון הזה מכיוון שאיננו יכולים לאשר כל חשבון שעלול היה להיות מושפע, ושמים לב במיוחד לאנשים עם חשבונות בשם בדוי, שיכולים להיות ממוקדים על ידי גורמים מטעם מדינה או גורמים אחרים".

הרשת החברתית הסבירה כי לא נחשפו סיסמאות, ולמרות זאת דחפה את משתמשיה לאפשר אימות דו-שלבי באמצעות אפליקציות אימות או מפתחות אבטחה של חומרה, כדי להגן על חשבונם מפני התחברות לא מורשה אליהם.

בנוסף המליצה טוויטר למשתמשים המעוניינים בשמירה קפדנית על פרטיותם: "אם אתם מפעילים חשבון בשם בדוי, אנו מבינים את הסיכונים שאירוע כזה יכול להכניס ומצטערים מאוד על כך שזה קרה. כדי לשמור על זהותכם חסויה ככל האפשר, אנו ממליצים לא להוסיף מספר טלפון ידוע בציבור או כתובת דואר אלקטרוני לחשבון הטוויטר שלכם".