Theo Twitter, nếu hacker khai thác được lỗ hổng này thì sẽ biết được liệu số điện thoại hoặc email trong danh sách có liên kết với tài khoản hay không. Từ đó, hacker còn có thể truy ra thông tin chi tiết của từng tài khoản. Chỉ cần nhập số điện thoại hoặc email vào ô đăng nhập trên Twitter là có thể dễ dàng xem được các thông tin nói trên. Điều này làm lộ danh tính của các tài khoản mà người dùng muốn ẩn danh.

Trong một tuyên bố được công bố vào ngày 5.8 vừa qua, Twitter cho biết “nếu ai đó gửi địa chỉ email hoặc số điện thoại cho hệ thống của Twitter, hệ thống của Twitter sẽ cho người đó biết tài khoản nào đang liên kết với địa chỉ email hoặc số điện thoại đã gửi nếu có”. Thực ra Twitter đã từng vá lỗ hổng bảo mật này từ tháng 1/2022 khi nhận được báo cáo từ chương trình “phát hiện lỗi bảo mật được thưởng tiền” do Twitter tổ chức. Tuy nhiên, mới đây vào tháng 7/2022 có thông tin cho rằng ai đó đã khai thác lỗ hổng này trước khi nó được vá và gói dữ liệu hacker thu thập được từ Twitter đã được rao bán trên mạng.

Sau khi điều tra, Twitter xác nhận đã có kẻ đánh cắp thông tin người dùng từ nền tảng của họ trước khi lỗi bảo mật được vá. Twitter không tiết lộ con số chính xác các tài khoản bị rò rỉ thông tin và họ cũng không chắc rằng tất cả các tài khoản đều bị ảnh hưởng hay không.

Theo tiết lộ từ một bài báo ở trang BleepingComputer, có một hacker đang rao báo gói dữ liệu của hơn 5,4 triệu người dùng Twitter với mức giá 30.000 USD. Con số tài khoản bị rao báo thông tin chính xác là 5.485.636, bao gồm các tài khoản của người nổi tiếng, các công ty và những nhóm người dùng ngẫu nhiên.

Hơn 5,4 triệu tài khoản Twitter lộ thông tin do lỗ hỏng bảo mật
Twitter tiếp tục gặp lỗ hổng bảo mật sau sự cố tháng 1/2022

Theo báo cáo, lỗ hổng bảo mật này gây ra mối đe dọa nghiêm trọng đối với người dùng có tài khoản riêng tư hoặc ẩn danh và có thể được sử dụng để "tạo cơ sở dữ liệu người dùng Twitter". Nó tương tự như lỗ hổng được phát hiện vào cuối năm 2019, cho phép một nhà nghiên cứu bảo mật khớp hơn 17 triệu số điện thoại với các tài khoản Twitter.

Cũng theo Twitter, lỗ hổng này được phát hiện bởi một nhà nghiên cứu bảo mật đã liên hệ với Twitter thông qua chương trình săn lỗi nhận thưởng của công ty. Người này sau đó cũng đã nhận được 6.000 USD (khoảng hơn 140 triệu VND) tiền thưởng từ Twitter. Twitter cho biết đã sửa lỗ hổng này vào tháng 1 đầu năm nay.

Đồng thời, Twitter cũng cho biết họ sẽ thông báo trực tiếp cho mọi chủ sở hữu tài khoản mà họ có thể xác nhận bị ảnh hưởng bởi sự cố rò rỉ. Đối với những người dùng cố gắng giấu danh tính của họ, Twitter khuyến nghị không thêm số điện thoại hoặc địa chỉ email công khai vào tài khoản. Công ty cũng gợi ý người dùng thêm xác thực hai yếu tố cho tài khoản.