"+400 মিলিয়ন অনন্য ব্যবহারকারীদের" টুইটার ডেটা বিক্রির জন্য - কী করবেন?

হিল উপর গরম LastPass ডেটা লঙ্ঘনের কাহিনী, যা 2022 সালের আগস্টে প্রথম প্রকাশিত হয়েছিল, একটি টুইটার লঙ্ঘনের খবর আসে, স্পষ্টতই একটি টুইটার বাগের উপর ভিত্তি করে যা প্রথম একই মাসে শিরোনাম করেছিল।

একটি স্ক্রিনশট অনুযায়ী পোস্ট নিউজ সাইট ব্লিপিং কম্পিউটার দ্বারা, একজন সাইবার অপরাধী বিজ্ঞাপন দিয়েছে:

আমি +400 মিলিয়ন অনন্য টুইটার ব্যবহারকারীদের ডেটা বিক্রি করছি যা একটি দুর্বলতার মাধ্যমে স্ক্র্যাপ করা হয়েছিল, এই ডেটা সম্পূর্ণ ব্যক্তিগত।

এবং এতে সেলিব্রিটি, রাজনীতিবিদ, কোম্পানি, সাধারণ ব্যবহারকারী এবং প্রচুর OG এবং বিশেষ ব্যবহারকারীর নাম রয়েছে।

OG, যদি আপনি সোশ্যাল মিডিয়া অ্যাকাউন্টের প্রসঙ্গে সেই শব্দটির সাথে পরিচিত না হন, তাহলে এর জন্য সংক্ষিপ্ত আসল গ্যাংস্টা.,

এটি একটি রূপক (এটি মূলধারায় পরিণত হয়েছে, সব কিছুর জন্য এটি কিছুটা আপত্তিকর) যে কোনও সামাজিক মিডিয়া অ্যাকাউন্ট বা অনলাইন শনাক্তকারীর জন্য এত সংক্ষিপ্ত এবং মজাদার নাম যে এটি অবশ্যই প্রথম দিকে স্ন্যাপ করা হয়েছিল, যখন এটির সাথে সম্পর্কিত পরিষেবাটি একেবারে নতুন ছিল। এবং hoi polloi এখনও যোগদানের জন্য ঝাঁক ছিল না.

বিটকয়েন ব্লক 0 এর জন্য ব্যক্তিগত কী থাকা, তথাকথিত জেনেসিস ব্লক (কারণ এটি তৈরি করা হয়েছিল, খনন করা হয়নি), সম্ভবত সাইবারল্যান্ডের সবচেয়ে OG জিনিস হবে; যেমন একটি টুইটার হ্যান্ডেল মালিক @jack বা কোনো সংক্ষিপ্ত, সুপরিচিত নাম বা শব্দগুচ্ছ, বেশ চমৎকার নয়, তবে অবশ্যই চাওয়া-পাওয়া এবং সম্ভাব্য বেশ মূল্যবান।

বিক্রয়ের জন্য কি আপ?

LastPass লঙ্ঘনের বিপরীতে, কোনও পাসওয়ার্ড-সম্পর্কিত ডেটা, আপনার ব্যবহার করা ওয়েবসাইটগুলির তালিকা বা বাড়ির ঠিকানাগুলি এই সময়ে ঝুঁকিপূর্ণ বলে মনে হচ্ছে।

যদিও এই তথ্য বিক্রির পেছনে ধূর্তরা এমন তথ্যই লিখেছে "ইমেল এবং ফোন নম্বর অন্তর্ভুক্ত", এটি সম্ভবত ডাম্পের একমাত্র সত্যিকারের ব্যক্তিগত ডেটা বলে মনে হচ্ছে, এটি একটি ব্যবহার করে 2021 সালে অর্জিত হয়েছে বলে মনে হচ্ছে দুর্বলতা যে টুইটার বলেছে যে এটি 2022 সালের জানুয়ারিতে ঠিক হয়েছে।

এই ত্রুটিটি একটি টুইটার API (এপ্লিকেশন প্রোগ্রামিং ইন্টারফেস, "নির্দিষ্ট ডেটা অ্যাক্সেস করতে বা নির্দিষ্ট কমান্ডগুলি সম্পাদন করার জন্য দূরবর্তী অনুসন্ধান করার একটি অফিসিয়াল, কাঠামোগত উপায়") যা আপনাকে একটি ইমেল ঠিকানা বা ফোন নম্বর খুঁজতে এবং একটি উত্তর ফেরত পেতে দেয় যা শুধুমাত্র নির্দেশিত ছিল কিনা তা নয়। ব্যবহারে, কিন্তু, যদি এটি ছিল, তার সাথে যুক্ত অ্যাকাউন্টের হ্যান্ডেল।

এই ধরনের ভুলের অবিলম্বে সুস্পষ্ট ঝুঁকি হল যে একজন স্টকার, কারও ফোন নম্বর বা ইমেল ঠিকানা দিয়ে সজ্জিত - ডেটা পয়েন্ট যা প্রায়শই উদ্দেশ্যমূলকভাবে সর্বজনীন করা হয় - সম্ভাব্যভাবে সেই ব্যক্তিটিকে একটি ছদ্ম-বেনামী টুইটার হ্যান্ডেলের সাথে লিঙ্ক করতে পারে, এটি একটি ফলাফল নিশ্চিতভাবে সম্ভব হতে অনুমিত ছিল না.

যদিও এই ফাঁকটি জানুয়ারী 2022-এ প্যাচ করা হয়েছিল, টুইটার শুধুমাত্র 2022 সালের আগস্টে সর্বজনীনভাবে এটি ঘোষণা করেছিল, দাবি করে যে প্রাথমিক বাগ রিপোর্টটি তার বাগ বাউন্টি সিস্টেমের মাধ্যমে জমা দেওয়া একটি দায়িত্বশীল প্রকাশ ছিল।

এর মানে (ধরে নিচ্ছি যে বাউন্টি হান্টাররা যারা এটি জমা দিয়েছিল তারা প্রকৃতপক্ষে এটিকে প্রথম খুঁজে পেয়েছিল, এবং তারা অন্য কাউকে কখনও জানায়নি) যে এটিকে শূন্য-দিন হিসাবে বিবেচনা করা হয়নি, এবং এইভাবে এটি প্যাচ করা সক্রিয়ভাবে দুর্বলতা প্রতিরোধ করবে শোষিত হচ্ছে।

2022 সালের মাঝামাঝি, তবে, টুইটার খুঁজে বের করা অন্যথায়:

জুলাই 2022-এ, [Twitter] একটি প্রেস রিপোর্টের মাধ্যমে জানতে পেরেছিল যে কেউ সম্ভাব্যভাবে এটির সুবিধা নিয়েছে এবং তাদের সংকলিত তথ্য বিক্রি করার প্রস্তাব দিচ্ছে। বিক্রয়ের জন্য উপলব্ধ ডেটার একটি নমুনা পর্যালোচনা করার পরে, আমরা নিশ্চিত করেছি যে একজন খারাপ অভিনেতা সমস্যাটির সমাধান করার আগে এর সুবিধা নিয়েছেন।

একটি ব্যাপকভাবে শোষিত বাগ

ঠিক আছে, এখন মনে হচ্ছে যে এই বাগটি প্রথম প্রদর্শিত হওয়ার চেয়ে আরও বিস্তৃতভাবে শোষিত হয়েছে, যদি প্রকৃতপক্ষে বর্তমান ডেটা-পাচারকারীরা 400 মিলিয়নেরও বেশি স্ক্র্যাপ করা টুইটার হ্যান্ডেলগুলিতে অ্যাক্সেস থাকার বিষয়ে সত্য বলে থাকে।

আপনি যেমন কল্পনা করতে পারেন, একটি দুর্বলতা যা অপরাধীদেরকে হয়রানি বা পিছু নেওয়ার মতো জঘন্য উদ্দেশ্যে নির্দিষ্ট ব্যক্তির পরিচিত ফোন নম্বরগুলি দেখতে দেয়, সম্ভবত আক্রমণকারীদের অজানা ফোন নম্বরগুলি সন্ধান করতে দেয়, সম্ভবত কেবল বিস্তৃত কিন্তু সম্ভাব্য তালিকা তৈরি করে। সংখ্যার পরিসরের উপর ভিত্তি করে যা ব্যবহার করা হচ্ছে বলে জানা যায়, সেই সংখ্যাগুলি আসলে কখনও জারি করা হয়েছে কি না।

আপনি সম্ভবত একটি API আশা করতে চান যেমন এক যেটি এখানে কিছু ধরণের অন্তর্ভুক্ত করার জন্য ব্যবহৃত হয়েছিল হার সীমিত, উদাহরণস্বরূপ, একটি নির্দিষ্ট সময়ের মধ্যে একটি কম্পিউটার থেকে অনুমোদিত প্রশ্নের সংখ্যা হ্রাস করার লক্ষ্যে, যাতে API-এর যুক্তিসঙ্গত ব্যবহার বাধাগ্রস্ত না হয়, তবে অত্যধিক এবং তাই সম্ভবত আপত্তিজনক ব্যবহার কমানো হবে।

যাইহোক, এই অনুমান সঙ্গে দুটি সমস্যা আছে.

প্রথমত, এপিআই প্রথম স্থানে যে তথ্যটি করেছিল তা প্রকাশ করার কথা ছিল না।

তাই এটা ভাবা যুক্তিসঙ্গত যে হার সীমিত করা, যদি সত্যিই কিছু থাকে তবে সঠিকভাবে কাজ করত না, কারণ আক্রমণকারীরা ইতিমধ্যেই একটি ডেটা অ্যাক্সেস পাথ খুঁজে পেয়েছে যেটি যাইহোক সঠিকভাবে পরীক্ষা করা হচ্ছে না।

দ্বিতীয়ত, একটি বটনেট অ্যাক্সেস সহ আক্রমণকারী, বা জম্বি নেটওয়ার্ক, ম্যালওয়্যার-সংক্রমিত কম্পিউটারগুলি তাদের নোংরা কাজ করার জন্য সারা বিশ্বে ছড়িয়ে থাকা অন্যান্য মানুষের নির্দোষ চেহারার কম্পিউটারের হাজার হাজার, এমনকি লক্ষ লক্ষ ব্যবহার করতে পারে।

এটি তাদের ব্যাচগুলিতে ডেটা সংগ্রহ করার সুযোগ দেবে, এইভাবে প্রতিটিতে অত্যধিক সংখ্যক অনুরোধ করে অল্প সংখ্যক কম্পিউটার থাকার পরিবর্তে, প্রচুর পরিমাণে বিভিন্ন কম্পিউটার থেকে প্রতিটিতে সামান্য সংখ্যক অনুরোধ করে যেকোন হার সীমাবদ্ধ করে।

বদমাশরা কি ধরেছে?

সংক্ষেপে: আমরা জানি না এই "+400 মিলিয়ন" টুইটার হ্যান্ডেলগুলির মধ্যে কতগুলি:

• প্রকৃতপক্ষে ব্যবহার করা হয়. আমরা অনুমান করতে পারি যে তালিকায় প্রচুর পরিমাণে বন্ধ করা অ্যাকাউন্ট রয়েছে এবং সম্ভবত এমন অ্যাকাউন্টগুলি যেগুলি কখনও বিদ্যমান ছিল না, তবে সাইবার অপরাধীদের বেআইনি সমীক্ষায় ভুলভাবে অন্তর্ভুক্ত করা হয়েছিল। (যখন আপনি একটি ডাটাবেসে একটি অননুমোদিত পথ ব্যবহার করছেন, তখন আপনি কখনই নিশ্চিত হতে পারবেন না যে আপনার ফলাফলগুলি কতটা সঠিক হতে চলেছে, বা আপনি কতটা নির্ভরযোগ্যভাবে সনাক্ত করতে পারেন যে একটি লুকআপ ব্যর্থ হয়েছে৷)
• ইমেল এবং ফোন নম্বরগুলির সাথে ইতিমধ্যেই সর্বজনীনভাবে সংযুক্ত নয়৷ কিছু টুইটার ব্যবহারকারী, বিশেষ করে যারা তাদের পরিষেবা বা তাদের ব্যবসার প্রচার করে, স্বেচ্ছায় অন্য লোকেদের তাদের ইমেল ঠিকানা, ফোন নম্বর এবং টুইটার হ্যান্ডেল সংযোগ করার অনুমতি দেয়।
• নিষ্ক্রিয় অ্যাকাউন্ট। এটি সেই টুইটার হ্যান্ডেলগুলিকে ইমেল এবং ফোন নম্বরগুলির সাথে সংযুক্ত করার ঝুঁকি দূর করে না, তবে তালিকায় এমন একগুচ্ছ অ্যাকাউন্ট থাকার সম্ভাবনা রয়েছে যেগুলি অন্য সাইবার অপরাধীদের কাছে খুব বেশি, এমনকি কোনও মূল্যবানও হবে না। টার্গেটেড ফিশিং কেলেঙ্কারীর ধরণের।
• ইতিমধ্যে অন্যান্য উত্স মাধ্যমে আপস. আমরা নিয়মিতভাবে ডার্ক ওয়েবে বিক্রয়ের জন্য "X থেকে চুরি করা" ডেটার বিশাল তালিকা দেখতে পাই, এমনকি যখন পরিষেবা X-এর সাম্প্রতিক লঙ্ঘন বা দুর্বলতা নেই, কারণ সেই ডেটা আগে অন্য কোথাও থেকে চুরি করা হয়েছিল।

তা সত্ত্বেও যুক্তরাজ্যের গার্ডিয়ান পত্রিকা রিপোর্ট যে ডেটার একটি নমুনা, ইতিমধ্যেই এক ধরণের "টেস্টার" হিসাবে ক্রুকদের দ্বারা ফাঁস হয়েছে, দৃঢ়ভাবে পরামর্শ দেয় যে বিক্রয়ের মাল্টি-মিলিয়ন-রেকর্ড ডাটাবেসের অন্তত অংশে বৈধ ডেটা রয়েছে, যা আগে ফাঁস করা হয়নি, 'সর্বজনীন হওয়ার কথা নয়, এবং প্রায় অবশ্যই টুইটার থেকে বের করা হয়েছিল।

সহজ কথায় বলতে গেলে, টুইটারে অনেক ব্যাখ্যা করার আছে, এবং টুইটার ব্যবহারকারীরা সর্বত্র জিজ্ঞাসা করছেন, "এর অর্থ কী এবং আমার কী করা উচিত?"

এটা মূল্য কি?

স্পষ্টতই, বদমাশরা নিজেরাই তাদের শুদ্ধ ডাটাবেসের এন্ট্রিগুলিকে সামান্য স্বতন্ত্র মূল্য হিসাবে মূল্যায়ন করেছে বলে মনে হচ্ছে, যা পরামর্শ দেয় যে তারা আপনার ডেটা এইভাবে ফাঁস হওয়ার ব্যক্তিগত ঝুঁকি দেখে না।

তারা দৃশ্যত একক ক্রেতার কাছে এক-বার বিক্রির জন্য লটের জন্য $200,000 চাইছে, যা প্রতি ব্যবহারকারীর জন্য ইউএস সেন্টের 1/20 ভাগে আসে।

অথবা তারা এক বা একাধিক ক্রেতার কাছ থেকে $60,000 নেবে (প্রতি ডলারে 7000 অ্যাকাউন্টের কাছাকাছি) যদি কেউ "এক্সক্লুসিভ" মূল্য না দেয়।

হাস্যকরভাবে, দুর্বৃত্তদের মূল উদ্দেশ্য টুইটারকে ব্ল্যাকমেইল করা, বা অন্ততপক্ষে কোম্পানিকে বিব্রত করা, এই দাবি করে যে:

টুইটার এবং ইলন মাস্ক... জিডিপিআর লঙ্ঘনের জরিমানা $276 মিলিয়ন মার্কিন ডলার এড়াতে আপনার সেরা বিকল্প হল এই ডেটা একচেটিয়াভাবে কেনা।

কিন্তু এখন যেহেতু বিড়ালটি থলের বাইরে, লঙ্ঘন ঘোষণা করা হয়েছে এবং যাইহোক প্রচার করা হয়েছে, এই মুহুর্তে অর্থ প্রদান করা টুইটার জিডিপিআরকে কীভাবে সঙ্গতিপূর্ণ করে তুলবে তা কল্পনা করা কঠিন।

সর্বোপরি, দুর্বৃত্তদের কাছে দৃশ্যত এই তথ্যটি ইতিমধ্যেই কিছু সময়ের জন্য রয়েছে, যেভাবেই হোক এটি এক বা একাধিক তৃতীয় পক্ষের কাছ থেকে অর্জিত হতে পারে, এবং লঙ্ঘনটি যে বাস্তব, এবং মাত্রায় "প্রমাণ" করার জন্য ইতিমধ্যেই তাদের পথের বাইরে চলে গেছে। দাবি করেছে

প্রকৃতপক্ষে, আমরা যে বার্তার স্ক্রিনশটটি দেখেছি তাতে টুইটারকে অর্থ প্রদান করতে হলে ডেটা মুছে ফেলার কথাও উল্লেখ করা হয়নি (যেহেতু আপনি এটিকে মুছে ফেলার জন্য দুর্বৃত্তদের বিশ্বাস করতে পারেন)।

পোস্টারটি কেবল সেই প্রতিশ্রুতি দিয়েছে "আমি এই থ্রেডটি [ওয়েব ফোরামে] মুছে দেব এবং এই ডেটা আবার বিক্রি করব না।"

কি করো?

টুইটার অর্থপ্রদান করতে যাচ্ছে না, অন্ততপক্ষে কারণ সেখানে সামান্য কিছু নেই, যে কোনও লঙ্ঘিত ডেটা দৃশ্যত এক বছর বা তারও বেশি আগে চুরি হয়ে গিয়েছিল, তাই এটি এখন পর্যন্ত অসংখ্য সাইবার স্ক্যামারদের হাতে (এবং সম্ভবত হতে পারে)।

সুতরাং, আমাদের তাত্ক্ষণিক পরামর্শ হল:

• এমন ইমেল সম্পর্কে সচেতন হোন যা আপনি আগে স্ক্যাম হওয়ার সম্ভাবনা ভাবতে পারেননি। আপনি যদি মনে করেন যে আপনার টুইটার হ্যান্ডেল এবং আপনার ইমেল ঠিকানার মধ্যে লিঙ্কটি ব্যাপকভাবে পরিচিত ছিল না, এবং সেইজন্য যে ইমেলগুলি আপনার টুইটার নামটিকে সঠিকভাবে চিহ্নিত করেছে তা অবিশ্বস্ত উত্স থেকে আসার সম্ভাবনা কম ছিল… আর এটি করবেন না!
• আপনি যদি টুইটারে 2FA এর জন্য আপনার ফোন নম্বর ব্যবহার করেন, তাহলে সচেতন থাকুন যে আপনি সিম অদলবদলের লক্ষ্য হতে পারেন। সেখানেই একজন বদমাশ যিনি ইতিমধ্যেই আপনার টুইটার পাসওয়ার্ড জানেন একটি পায়৷ নতুন সিম কার্ড ইস্যু করা হয়েছে এটিতে আপনার নম্বর সহ, এইভাবে আপনার 2FA কোডগুলিতে তাত্ক্ষণিক অ্যাক্সেস পাচ্ছেন। আপনার টুইটার অ্যাকাউন্টটিকে একটি 2FA সিস্টেমে স্যুইচ করার কথা বিবেচনা করুন যা আপনার ফোন নম্বরের উপর নির্ভর করে না, যেমন পরিবর্তে একটি প্রমাণীকরণকারী অ্যাপ ব্যবহার করা।
• সম্পূর্ণরূপে ফোন-ভিত্তিক 2FA ডিচিং বিবেচনা করুন। এই ধরনের লঙ্ঘন - এমনকি প্রকৃত মোট ব্যবহারকারীর সংখ্যা 400 মিলিয়নের নিচে হলেও - এটি একটি ভাল অনুস্মারক যে আপনার কাছে 2FA-এর জন্য ব্যবহার করা একটি ব্যক্তিগত ফোন নম্বর থাকলেও, এটি আশ্চর্যজনকভাবে সাধারণ যে সাইবারক্রুকদের জন্য আপনার ফোন নম্বর নির্দিষ্টের সাথে সংযুক্ত করতে সক্ষম হবে। সেই নম্বর দ্বারা সুরক্ষিত অনলাইন অ্যাকাউন্ট।

---