تويتر البديل Spoutible ينبثق تسربا هائلا
قام المستشار الأمني ومنشئ برنامج Have I Been Pwned Troy Hunt بتفصيل ثغرة أمنية في واجهة برمجة التطبيقات الخاصة بـ Spoutible، وهي منصة اجتماعية ظهرت بعد استحواذ Elon Musk على Twitter، والتي يمكن أن تسمح للمتسللين بالتحكم الكامل في حسابات المستخدمين.
وبعد أن نبه أحد الأشخاص هانت إلى الثغرة الأمنية، اكتشف أن المتسللين يمكنهم استغلال واجهة برمجة تطبيقات Spoutible للحصول على اسم المستخدم واسم المستخدم والسيرة الذاتية، بالإضافة إلى بريدهم الإلكتروني وعنوان IP ورقم الهاتف. منذ ذلك الحين، عالجت Spoutible الثغرة الأمنية، وكتبت في منشور على موقعها أنها لم تسرب كلمات المرور أو الرسائل المباشرة التي تم فك تشفيرها، مع تأكيد “المعلومات المسروقة تتضمن عناوين البريد الإلكتروني وبعض أرقام الهواتف المحمولة”. لقد دعت أي شخص لا يزال يرغب في استخدام الخدمة مرة أخرى لحضور “جلسة خاصة” في الساعة 1 ظهرًا بالتوقيت الشرقي. يوصي كل من Spoutible وHunt المستخدمين بتغيير كلمات المرور الخاصة بهم وإعادة تعيين المصادقة الثنائية.
وكما ذكر هانت، فإن هذا ليس أمرًا غير شائع تمامًا، كما رأينا في حوادث تجريف البيانات المماثلة على منصات مثل Facebook وTrello.
ومع ذلك، اكتشف هانت شيئًا أكثر إثارة للقلق: يمكن للجهات الفاعلة السيئة أيضًا استخدام الثغرة للحصول على نسخة مجزأة من كلمات مرور المستخدمين. على الرغم من أنها محمية باستخدام bcrypt، إلا أنه قد يكون من السهل إلى حد ما فك رموز كلمات المرور القصيرة أو الضعيفة، وقد منعت الخدمة الأشخاص من تعيين كلمات مرور أطول يصعب اختراقها.
علاوة على ذلك، اكتشف هانت أن واجهة برمجة التطبيقات (API) أعادت رمز المصادقة الثنائية (2FA) المستخدم لتسجيل الدخول إلى حساب شخص ما، بالإضافة إلى رموز إعادة التعيين التي تم إنشاؤها لمساعدة المستخدم على تغيير كلمة المرور المنسية. قد يتيح ذلك للمتسللين إمكانية الوصول بسهولة إلى حساب شخص ما واختطافه دون تنبيههم بالانتهاك.
وفقًا لهانت، فقد كشفت الثغرة عن رسائل البريد الإلكتروني لحوالي 207000 مستخدم. هذا تقريبًا كل شخص على المنصة بأكملها، وفقًا لتقرير يونيو 2023 من سلكي أشار إلى أن Spoutible كان لديه 240.000 مستخدم.