Güvenlik danışmanı ve Have I Been Pwned'in yaratıcısı Troy Hunt, Elon Musk'ın Twitter'ı devralmasının ardından ortaya çıkan bir sosyal platform olan Spoutible'ın API'sinde, bilgisayar korsanlarının kullanıcıların hesaplarının kontrolünü tamamen ele geçirmesine neden olan bir güvenlik açığının bulunduğunu açıkladı.
Hunt, bilgisayar korsanlarının Spoutible'ın API'sinden yararlanarak bir kullanıcının adını, kullanıcı adını, biyografisini, e-postasını, IP adresini ve telefon numarasını öğrenebileceğini keşfettiğini söylüyor. Spoutib, sitesinde şifrelerin veya doğrudan mesajların sızdırılmadığını yazarken, toplanan bilgilerin e-posta adreslerini ve bazı cep telefonu numaralarını içerdiğini açıkladı. Hem Spoutible hem de Hunt kullanıcıların şifrelerini değiştirmelerini ve 2FA'yı sıfırlamalarını tavsiye ediyor.
Hunt, Facebook ve Trello gibi platformlardaki benzer veri kazıma olaylarında görüldüğü gibi, bu olayın çok da alışılmadık bir durum olmadığını söylüyor.
This is pretty wild, it's not often you see an API returning customers' bcrypt password hashes, 2FA secrets and the token you can use to reset passwords 😲 https://t.co/SSNVpcMGfn
— Troy Hunt (@troyhunt) February 5, 2024
Bununla birlikte Hunt, çok daha endişe verici bir şey keşfettiğini açıkladı; kötü niyetli kişiler açığı kullanarak kullanıcıların şifrelerinin hash edilmiş bir versiyonunu da edinebiliyordu. Şifreler bcrypt ile korunuyor olsa da kısa ya da zayıf şifrelerin deşifre edilmesi oldukça kolay ve hizmet, kullanıcıların kırılması daha zor olacak daha uzun şifreler belirlemesini engelliyor.
Tüm bunların ötesinde Hunt, API'nin bir kişinin hesabında oturum açmak için kullanılan 2FA kodunun yanı sıra bir kullanıcının unutulan bir parolayı değiştirmesi için oluşturulan sıfırlama token'larını da getirdiğini tespit etti. Bu durum, bilgisayar korsanlarının bir kişinin hesabına kolayca erişmesine ve kullanıcının hesabını ihlal konusunda uyarılmadan ele geçirmesine olanak tanıyor.
Hunt'a göre açık, yaklaşık 207.000 kullanıcının e-postasını ifşa etti. Wired'ın Haziran 2023 tarihli bir raporunda Spoutible'ın 240.000 kullanıcısı olduğu belirtildiğinden, bu neredeyse tüm platformdaki herkesi kapsıyor.