بيانات Twitter الخاصة بـ "+400 مليون مستخدم فريد" معروضة للبيع - ماذا تفعل؟

حار في أعقاب ملحمة خرق البيانات LastPass، الذي ظهر لأول مرة في أغسطس 2022 ، يأتي نبأ اختراق Twitter ، على ما يبدو بناءً على خطأ Twitter الذي احتل العناوين الرئيسية لأول مرة في نفس الشهر.

حسب لقطة شاشة نشر بواسطة موقع إخباري Bleeping Computer ، أعلن مجرم إلكتروني:

أنا أبيع بيانات أكثر من 400 مليون مستخدم فريد من نوعه على تويتر تم تجريفهم عبر ثغرة أمنية ، هذه البيانات خاصة تمامًا.

ويتضمن رسائل البريد الإلكتروني وأرقام هواتف المشاهير والسياسيين والشركات والمستخدمين العاديين والكثير من OG وأسماء المستخدمين الخاصة.

OG ، إذا لم تكن معتادًا على هذا المصطلح في سياق حسابات وسائل التواصل الاجتماعي ، فهو اختصار العصابات الأصلي.,

هذا استعارة (أصبحت سائدة ، على الرغم من أنها مسيئة إلى حد ما) لأي حساب على وسائل التواصل الاجتماعي أو معرف عبر الإنترنت يحمل اسمًا قصيرًا وغير تقليدي يجب أن يكون قد تم التقاطه مبكرًا ، عندما كانت الخدمة المتعلقة به جديدة تمامًا و الجماهير العامة لم يتوافدوا بعد للانضمام.

امتلاك المفتاح الخاص لـ Bitcoin block 0 ، يسمى كتلة التكوين (لأنه تم إنشاؤه ، وليس التعدين) ، ربما يكون أكثر شيء OG في الإنترنت ؛ امتلاك حساب Twitter مثل @jack أو أي اسم أو عبارة قصيرة ومعروفة ، ليست رائعة تمامًا ، ولكنها مطلوبة بالتأكيد ، ومن المحتمل أن تكون ذات قيمة كبيرة.

ماذا يوجد للبيع؟

على عكس اختراق LastPass ، لا يبدو أن أي بيانات متعلقة بكلمة المرور أو قوائم مواقع الويب التي تستخدمها أو عناوين المنزل معرضة للخطر هذه المرة.

على الرغم من أن المحتالين وراء بيع البيانات هذه كتبوا تلك المعلومات "تتضمن رسائل البريد الإلكتروني وأرقام الهواتف"، يبدو من المحتمل أن هذه هي البيانات الخاصة الوحيدة حقًا في التفريغ ، نظرًا لأنه يبدو أنه تم الحصول عليها مرة أخرى في عام 2021 ، باستخدام الضعف يقول موقع Twitter إنه تم إصلاحه مرة أخرى في يناير 2022.

نتج هذا الخلل عن واجهة برمجة تطبيقات Twitter (واجهة برمجة تطبيق، المصطلحات الخاصة بـ "طريقة رسمية منظمة لإجراء استعلامات عن بُعد للوصول إلى بيانات محددة أو تنفيذ أوامر محددة") والتي من شأنها أن تسمح لك بالبحث عن عنوان بريد إلكتروني أو رقم هاتف ، والحصول على رد لا يشير فقط إلى ما إذا كان قيد الاستخدام ، ولكن أيضًا ، إذا كان كذلك ، مقبض الحساب المرتبط به.

إن الخطر الواضح على الفور لوقوع خطأ فادح مثل هذا هو أن مطاردًا مسلحًا برقم هاتف شخص ما أو عنوان بريده الإلكتروني - نقاط بيانات يتم الإعلان عنها غالبًا عن قصد - من المحتمل أن يربط ذلك الشخص بمعامل Twitter مجهول الهوية ، وهي نتيجة بالتأكيد لم يكن من المفترض أن يكون ممكنًا.

على الرغم من تصحيح هذه الثغرة في يناير 2022 ، إلا أن Twitter أعلن عنها علنًا في أغسطس 2022 ، مدعيا أن تقرير الخطأ الأولي كان إفصاحًا مسؤولًا تم تقديمه من خلال نظام مكافأة الأخطاء.

هذا يعني (بافتراض أن صائدي الجوائز الذين أرسلوها كانوا بالفعل أول من اكتشفها ، وأنهم لم يخبروا أي شخص آخر) أنه لم يتم التعامل معها على أنها يوم الصفر ، وبالتالي فإن ترقيعها سيمنع بشكل استباقي الضعف من يجري استغلالها.

في منتصف عام 2022 ، ومع ذلك ، فإن Twitter اكتشف غير ذلك:

في يوليو 2022 ، علم موقع [Twitter] من خلال تقرير صحفي أن شخصًا ما قد استفاد من ذلك وكان يعرض بيع المعلومات التي جمعوها. بعد مراجعة عينة من البيانات المتاحة للبيع ، تأكدنا من أن جهة فاعلة سيئة قد استفادت من المشكلة قبل معالجتها.

علة مستغلة على نطاق واسع

حسنًا ، يبدو الآن كما لو أن هذا الخطأ ربما تم استغلاله على نطاق أوسع مما ظهر لأول مرة ، إذا كان المحتالون الحاليون لبيع البيانات يقولون الحقيقة حول الوصول إلى أكثر من 400 مليون حساب Twitter تم كشطه.

كما يمكنك أن تتخيل ، فإن الثغرة الأمنية التي تسمح للمجرمين بالبحث عن أرقام الهواتف المعروفة لأفراد معينين لأغراض شائنة ، مثل التحرش أو المطاردة ، من المرجح أيضًا أن تسمح للمهاجمين بالبحث عن أرقام هواتف غير معروفة ، ربما ببساطة عن طريق إنشاء قوائم موسعة ولكن محتملة. استنادًا إلى نطاقات الأرقام المعروفة بأنها قيد الاستخدام ، سواء تم إصدار هذه الأرقام بالفعل أم لا.

من المحتمل أن تتوقع واجهة برمجة تطبيقات مثل تلك التي يُزعم أنها استخدمت هنا لتضمين نوعًا من تحديد المعدل، على سبيل المثال يهدف إلى تقليل عدد الاستعلامات المسموح بها من جهاز كمبيوتر واحد في أي فترة زمنية معينة ، بحيث لا يتم إعاقة الاستخدام المعقول لواجهة برمجة التطبيقات ، ولكن سيتم تقليص الاستخدام المفرط وبالتالي الذي قد يكون مسيئًا.

ومع ذلك ، هناك مشكلتان مع هذا الافتراض.

أولاً ، لم يكن من المفترض أن تكشف واجهة برمجة التطبيقات عن المعلومات التي قامت بها في المقام الأول.

لذلك ، من المنطقي الاعتقاد بأن تحديد المعدل ، إذا كان هناك بالفعل ، لن يعمل بشكل صحيح ، نظرًا لأن المهاجمين قد عثروا بالفعل على مسار وصول إلى البيانات لم يتم التحقق منه بشكل صحيح على أي حال.

ثانيًا ، المهاجمون الذين يمكنهم الوصول إلى شبكة الروبوتات ، أو شبكة الزومبي، من أجهزة الكمبيوتر المصابة بالبرمجيات الخبيثة يمكن أن تستخدم آلاف ، وربما حتى الملايين ، من أجهزة كمبيوتر أشخاص آخرين تبدو بريئة ، منتشرة في جميع أنحاء العالم ، للقيام بعملهم القذر.

وهذا من شأنه أن يمنحهم الإمكانيات اللازمة لحصاد البيانات على دفعات ، وبالتالي تجنب أي حد للمعدل عن طريق إجراء عدد متواضع من الطلبات لكل من العديد من أجهزة الكمبيوتر المختلفة ، بدلاً من امتلاك عدد قليل من أجهزة الكمبيوتر التي تقدم كل واحدة عددًا كبيرًا من الطلبات.

ما الذي حصل عليه المحتالون؟

باختصار: لا نعرف عدد مؤشرات Twitter التي يبلغ عددها "+400 مليون":

• حقا قيد الاستخدام. يمكننا أن نفترض أن هناك الكثير من الحسابات المغلقة في القائمة ، وربما الحسابات التي لم تكن موجودة من قبل ، ولكن تم تضمينها بشكل خاطئ في الاستطلاع غير القانوني لمجرمي الإنترنت. (عندما تستخدم مسارًا غير مصرح به في قاعدة بيانات ، لا يمكنك أبدًا التأكد تمامًا من مدى دقة نتائجك ، أو مدى موثوقية اكتشاف فشل البحث.)
• غير متصل بالفعل علنًا برسائل البريد الإلكتروني وأرقام الهواتف. يسمح بعض مستخدمي Twitter ، لا سيما أولئك الذين يروجون لخدماتهم أو أعمالهم ، عن طيب خاطر لأشخاص آخرين بربط عنوان بريدهم الإلكتروني ورقم هاتفهم ومعرف Twitter.
• حسابات غير نشطة. هذا لا يلغي خطر ربط حسابات Twitter هذه مع رسائل البريد الإلكتروني وأرقام الهواتف ، ولكن من المحتمل أن تكون هناك مجموعة من الحسابات في القائمة لن تكون ذات قيمة كبيرة ، أو حتى أي قيمة ، لمجرمي الإنترنت الآخرين لأي نوع من خدع التصيد المستهدف.
• تم اختراقها بالفعل عبر مصادر أخرى. نرى دائمًا قوائم ضخمة من البيانات "المسروقة من X" معروضة للبيع على الويب المظلم ، حتى عندما لا تكون الخدمة X قد تعرضت لخرق أو ثغرة أمنية مؤخرًا ، لأن هذه البيانات قد سُرقت في وقت سابق من مكان آخر.

ومع ذلك ، فإن صحيفة الجارديان في المملكة المتحدة تقارير أن عينة من البيانات ، التي تم تسريبها بالفعل من قبل المحتالين كنوع من "الذواق" ، تشير بقوة إلى أن جزءًا على الأقل من قاعدة البيانات المليئة بالملايين المعروضة للبيع يتكون من بيانات صالحة ، لم يتم تسريبها من قبل ، من المفترض أن تكون عامة ، ومن شبه المؤكد أنه تم استخراجه من Twitter.

ببساطة ، لدى Twitter الكثير من الشرح ، ومن المرجح أن يسأل مستخدمو Twitter في كل مكان ، "ماذا يعني هذا ، وماذا أفعل؟"

ماذا تستحق؟

على ما يبدو ، يبدو أن المحتالين أنفسهم قاموا بتقييم الإدخالات في قاعدة البيانات الخاصة بهم على أنها ذات قيمة فردية قليلة ، مما يشير إلى أنهم لا يرون أن الخطر الشخصي لتسريب بياناتك بهذه الطريقة مرتفع بشكل رهيب.

من الواضح أنهم يطلبون 200,000 ألف دولار للقطعة من أجل بيع لمرة واحدة لمشتري واحد ، والذي يأتي بنسبة 1/20 من سنت أمريكي لكل مستخدم.

أو سيأخذون 60,000 دولار من مشتري واحد أو أكثر (ما يقرب من 7000 حساب لكل دولار) إذا لم يدفع أحد السعر "الحصري".

يبدو أن الهدف الرئيسي للمحتالين هو ابتزاز تويتر ، أو على الأقل إحراج الشركة ، بدعوى أن:

Twitter و Elon Musk ... أفضل خيار لك لتجنب دفع 276 مليون دولار أمريكي كغرامات انتهاك اللائحة العامة لحماية البيانات ... هو شراء هذه البيانات حصريًا.

ولكن الآن بعد أن خرجت القطة من الحقيبة ، نظرًا لأنه تم الإعلان عن الخرق ونشره على أي حال ، من الصعب تخيل كيف أن الدفع في هذه المرحلة سيجعل تويتر متوافقًا مع اللائحة العامة لحماية البيانات.

بعد كل شيء ، يبدو أن المحتالين قد حصلوا على هذه البيانات لبعض الوقت بالفعل ، وربما حصلوا عليها من طرف ثالث أو أكثر على أي حال ، وقد بذلوا قصارى جهدهم بالفعل "لإثبات" أن الخرق حقيقي وعلى نطاق ادعى.

Indeeed ، لم تذكر لقطة الشاشة للرسالة التي رأيناها حتى حذف البيانات إذا كان Twitter سيدفع (بقدر ما يمكنك الوثوق بالمحتالين لحذفها على أي حال).

وعد الملصق ذلك فقط "سأحذف هذا الموضوع [على منتدى الويب] ولن أبيع هذه البيانات مرة أخرى."

ماذا ستفعلين.. إذًا؟

لن يدفع Twitter ، لأسباب ليس أقلها أن هناك القليل من الفائدة ، نظرًا لأن أي بيانات تم اختراقها قد سُرقت على ما يبدو منذ عام أو أكثر ، لذلك قد تكون (وربما تكون كذلك) في أيدي العديد من المخترقين عبر الإنترنت في الوقت الحالي.

لذلك ، نصيحتنا الفورية هي:

• كن على دراية برسائل البريد الإلكتروني التي ربما لم تكن تعتقد في السابق أنها عمليات احتيال. إذا كان لديك انطباع بأن الرابط بين حساب Twitter وعنوان بريدك الإلكتروني لم يكن معروفًا على نطاق واسع ، وبالتالي فإن رسائل البريد الإلكتروني التي حددت اسم Twitter الخاص بك من غير المرجح أن تأتي من مصادر غير موثوق بها ... لا تفعل ذلك بعد الآن!
• إذا كنت تستخدم رقم هاتفك لـ 2FA على Twitter ، فاعلم أنك قد تكون هدفًا لمبادلة بطاقة SIM. هذا هو المكان الذي يحصل فيه المحتال الذي يعرف بالفعل كلمة مرور Twitter على ملف إصدار بطاقة SIM جديدة برقمك عليه ، وبالتالي الحصول على وصول فوري إلى رموز 2FA الخاصة بك. ضع في اعتبارك تبديل حساب Twitter الخاص بك إلى نظام 2FA لا يعتمد على رقم هاتفك ، مثل استخدام تطبيق المصادقة بدلاً من ذلك.
• ضع في اعتبارك التخلص من 2FA المستند إلى الهاتف تمامًا. تعد مثل هذه الانتهاكات - حتى لو كان الإجمالي الحقيقي أقل بكثير من 400 مليون مستخدم - بمثابة تذكير جيد بأنه حتى إذا كان لديك رقم هاتف خاص تستخدمه لـ 2FA ، فمن الشائع بشكل مفاجئ أن يتمكن المخترقون عبر الإنترنت من توصيل رقم هاتفك بمعرف محدد. حسابات عبر الإنترنت محمية بهذا الرقم.

---