Twitter/X alternatifi Spoutible’daki bir kullanıcı, Spoutible CEO’su Christopher Bouzy’yi son güvenlik sorununun doğası hakkında daha dürüst olmaya ittikten sonra şirketin gönderilerini sildiğini iddia ediyor. Şirketin yalanladığı iddialar, startup’ta geçen hafta meydana gelen güvenlik olayı efsanesindeki son tuhaf gelişme.
Geçen hafta Bouzy, daha kapsayıcı ve daha nazik bir Twitter olarak konumlanan girişimindeki kullanıcıların e-postalarını ve telefon numaralarını açığa çıkardığını söylediği bir güvenlik açığını kabul etti. Ancak, insanların verilerinin bir veri ihlalinde ele geçirilip geçirilmediğini kontrol etmelerine olanak tanıyan Have I Been Pwned web sitesinin yaratıcısı güvenlik araştırmacısı Troy Hunt, Spoutible’ın geliştirici API’sinin aynı zamanda kötü aktörlerin ele geçirmek için kullanabileceği bilgileri de açığa çıkardığını buldu. Kullanıcıların hesapları onların haberi olmadan ele geçirilebilir.
Hunt, bu çok daha ciddi suçlamayla ilgili bulgularını web sitesinde ayrıntılı olarak açıkladı ve Spoutible API’nin, başka herhangi bir kullanıcının şifresinin bcrypt karması, ayrıca 2FA (iki faktörlü) sırları ve bir kullanıcının şifresini sıfırlamak için yeniden kullanılabilecek belirteç dahil olmak üzere verileri döndürdüğünü belirtti. şifre.
Kısacası, The Verge’in o dönemde bildirdiği gibi, bu güvenlik açığı son derece istismar edilebilir nitelikteydi ve kötü bir aktörün bir kullanıcının hesabını, haberi olmadan ele geçirmesine izin verebilirdi. Hunt, Spoutible’ın hizmetinden veri çıkardıklarını iddia eden üçüncü bir taraf tarafından bu sorunla ilgili olarak uyarılmıştı. Pwned’in hesabı gibi X’te onaylandıSpoutible, yanlış yapılandırılmış API’sinden “ad, e-posta, kullanıcı adı, telefon, cinsiyet, bcrypt şifre karması, 2FA sırrı ve şifre sıfırlama belirteci” dahil olmak üzere 207.000 kullanıcı kaydını sildirdi.
Geçen Haziran itibarıyla Spoutible’ın 240.000 kayıtlı kullanıcısı vardı, dolayısıyla ihlal, daha küçük sosyal ağın kullanıcı tabanının büyük bir kısmını etkiledi.
Güvenlik araştırmacısı, bu güvenlik açığının, kullanıcıların şifrelerinin karma sürümünü elde edebilecek kötü aktörler tarafından kullanılmış olabileceğini açıkladı. Şifreler bcrypt aracılığıyla korunuyor olsa da, daha kısa şifrelerin tahmin edilmesi ve kırılması daha kolay olabilirdi. Ayrıca Hunt, hesap sahibine şifre değişikliğiyle ilgili herhangi bir e-posta bildirimi gönderilmeyeceğini, dolayısıyla hesaplarının artık kendi kontrolleri altında olup olmadığını asla bilemeyeceklerini belirtti.
Bu tür bir şey herhangi bir girişim için bir sorun olurdu, ancak özellikle kullanıcı tabanının, başka bir Twitter alternatifine geçmeden önce Spoutible’ı bir süre deneyip yarı terk edilmiş hesapları olgunlaşmış bırakan, erken benimseyenlerle dolu olduğu bir durumda. alma.
Spoutible CEO’su Christopher Bouzy, veri ihlali ve güvenlik açığını doğruladı ve şirket, sorunu çözdükten sonra kullanıcıların yeni, daha güçlü şifreler oluşturmasını istedi. Ancak aynı zamanda güvenlik açığının keşfedilmesini kendi ağına yönelik bir “saldırı” olarak nitelendirdi ve verileri toplayan kişinin Spoutible’ın itibarını zedeleme niyetinde olan biri olduğunu iddia etti.
Bouzy bir gönderide, Hunt’a kazınmış kayıtları gönderen ihbarcıya atıfta bulunarak, “Buna karışan kişinin bir yıldır Spoutible’a saldıran elebaşı olduğundan eminiz” dedi.
TechCrunch’a gönderdiği bir e-postada Bouzy, fikirlerini daha da ortaya koydu ve çevrimiçi grubun “ŞüpheliSaldırının arkasında geçen yılın başlarında ortaya çıkan ‘alıntı’ vardı. Bouzy, Doubtible’ın “Spoutible, ben ve topluluğumuzun önde gelen üyeleri hakkında her gün yalan tweetler attıkları” bir Twitter/X hesabı işlettiğini söyledi. Bouzy, Trustpilot’taki bir incelemeye yanıt olarak “Verilerimizin yetkisiz bir şekilde kazınmasının arkasında bu grubun olduğuna kesinlikle inanıyoruz” suçlamasını tekrarladı ve burada FBI’ı konuyla ilgili uyardığını da öne sürdü.
Bouzy şöyle devam etti: “Birinin bir güvenlik açığını ortaya çıkarmak için 207.000’den fazla kayıt taramasına gerek yok. “Ancak verileri de dahil ederek onları önemli ölçüde daha haber değeri haline getiriyor. Birisi bir şirketin itibarını zedeleyecek bir güvenlik açığını açığa çıkarmayı amaçlıyorsa, Bay Hunt gerçekten de onların ideal iletişim noktası olacaktır. Seçimlerinin ardındaki sebep açık: Bay Hunt’ın tweet’leri, blog yazısı ve takip videosu niyetleriyle mükemmel bir şekilde örtüşüyor. Bay Hunt’ın olayı sansasyonelleştirme ve tasvir etme şekli tam olarak umdukları şeydi” diye ekledi komplocu bir tavırla.
Bouzy, güvenlik açığının, ekibinden birinin kullanıcı ayarları API’sine yönelik bir işlevi genel API için tasarlanmış bir işlevle kullanması nedeniyle ortaya çıktığını, bu nedenle şifrelenmiş e-postaların ve telefon numaralarının düz metin olarak açığa çıktığını iddia ediyor. Bu olay ışığında Spoutible’ın sistemlerini daha ayrıntılı olarak incelemek için bir güvenlik firmasıyla ortaklık kurduğunu söyledi.
Yine de, birkaç kişi Bouzy’yi güvenlik açığının ciddiyetini küçümsemeye çalışmakla suçladı; bunlara yakın zamanda teknoloji girişimcisi Anil Dash’in Bluesky kullanıcılarını “sohbetten uzak durmaları” konusunda uyaran gönderisini yeniden paylaşan veri gazetecisi Dan Nguyen de dahil. Başka bir Bluesky kullanıcısı renkli bir şekilde Spoutible’ın kullanıcı verilerini boşaltmasının “Montezuma’nın İntikamı”na benzediğini söyledi.
Veri ihlali bir startup için zaten kötü bir PR olsa da, şirketin kendisini eleştirenleri susturup susturmadığı konusunda artık sorular var.
Spoutible kullanıcısı Mike Natale, CEO’yu, Bouzy’yi daha şeffaf olmaya zorladığı sosyal ağ sitesindeki gönderilerini silmekle suçladı.
Başka bir Bluesky kullanıcısına yanıt olarak Natale, “Bouzy…tüm gönderilerimi sildi ve duvarımı sildi” diye yazdı.
Başka bir yanıtta Natale, Bouzy’nin konu hakkında yorum yapmak için başlangıçta Spoutible’daki gönderilerini yeniden yayınladığını, ancak daha sonra “bunun bir saldırı olduğu ve diğer şirketlerin de bu saldırıyı yaptığı yönündeki anlatıya” karşı çıkınca Natale’in tüm gönderilerini sildiğini açıkladı. aynı kusurlar.”
Eksik gönderiler, silinmelerini belirten olağan etiketi içermiyor. Spoutible’da, kaldırılan gönderilere “@user bu yanıtı sildi” yazan bir sistem notu eklenir. Örneğin, Bouzy yanıtı silmiş olsaydı, “@bouzy bu yanıtı sildi” şeklinde olurdu.
Ancak bu durumda Natale, Bluesky hakkındaki yorumlarında gönderilerin kaybolduğunu ve Spoutible ana yayınının yüklenmediğini bile söyledi.
Twitter/X hesabı Doubtible ayrıca Natale’in iddiaları hakkında da paylaşımda bulundu. Natale yorum taleplerine yanıt vermedi.
Bu arada Spoutible CEO’su Christopher Bouzy, Natale’in gönderilerini sildiğini reddediyor.
“Natale kullanıcısı ile ilgili sorunla ilgili olarak, onun gönderilerini veya hesabını silmedik. Kullanıcıların kendi içeriklerini kaldırması ve ardından bizi asılsız bir şekilde suçlaması mümkün” dedi ve yine bir komplo imasında bulundu. “İddia temelsizdir ve daha fazla tartışmayı hak etmiyor” diye bitirdi.
Spoutible’daki olay, Elon Musk’un satın alınmasından kısa bir süre sonra Twitter kullanıcılarının akınına uğradıktan sonra büyük bir güvenlik sorunu yaşayan başka bir küçük şirket olan Hive’ı akla getiriyor. Bu durumda startup, uygulama mağazasına dönmeden önce kritik kusurları düzeltmek için uygulamasını tamamen kapattı. Hive fırtınayı atlatmayı başardı ve sonunda geri döndü, ancak kaçırılan fırsatın ardından artık Twitter için bir tehdit olarak görülmüyor.
Spoutible’ın itibarının bu lekeden kurtulup kurtulmayacağı da henüz bilinmiyor.
Kaynak: https://techcrunch.com/2024/02/12/twitter-alternative-spoutible-clashes-with-critics-over-security-breach/