Hot på hæle af LastPass saga om databrud, som først kom frem i august 2022, kommer nyheden om et Twitter-brud, tilsyneladende baseret på en Twitter-fejl, der først skabte overskrifter tilbage i samme måned.
Ifølge et skærmbillede indsendt af nyhedssiden Bleeping Computer har en cyberkriminel annonceret:
Jeg sælger data på +400 millioner unikke Twitter-brugere, der blev skrabet via en sårbarhed, disse data er fuldstændig private.
Og det inkluderer e-mails og telefonnumre på berømtheder, politikere, virksomheder, normale brugere og en masse OG og specielle brugernavne.
OG, hvis du ikke er bekendt med det udtryk i forbindelse med sociale mediekonti, er en forkortelse for original gangsta.,
Det er en metafor (det er blevet mainstream, selvom det er noget stødende) for enhver social mediekonto eller online-id med et så kort og funky navn, at det må være blevet snappet op tidligt, dengang den tjeneste, den relaterer til, var helt ny og hoi polloi var endnu ikke strømmet til for at være med.
At have den private nøgle til Bitcoin blok 0, den såkaldte Genesis blok (fordi det blev skabt, ikke udvundet), ville måske være den mest OG ting i cyberland; at eje et Twitter-håndtag som f.eks @jack eller et hvilket som helst kort, velkendt navn eller en sætning, er ikke helt så cool, men bestemt eftertragtet og potentielt ret værdifuld.
Hvad er til salg?
I modsætning til LastPass-bruddet ser ingen adgangskode-relaterede data, lister over websteder, du bruger, eller hjemmeadresser ud til at være i fare denne gang.
Selvom skurkene bag disse data frasalg skrev, at oplysningerne "inkluderer e-mails og telefonnumre", forekommer det sandsynligt, at det er de eneste virkelig private data på lossepladsen, da det ser ud til at være blevet erhvervet tilbage i 2021 ved hjælp af en sårbarhed at Twitter siger, at det blev rettet tilbage i januar 2022.
Denne fejl var forårsaget af en Twitter API (applikationsprogrammeringsgrænseflade, jargon for "en officiel, struktureret måde at foretage fjernforespørgsler på for at få adgang til specifikke data eller udføre specifikke kommandoer"), som ville give dig mulighed for at slå en e-mailadresse eller et telefonnummer op og få et svar tilbage, der ikke kun indikerede, om det var i brug, men også, hvis det var, håndteringen af den konto, der er knyttet til den.
Den umiddelbart indlysende risiko for en bommert som denne er, at en stalker, bevæbnet med en andens telefonnummer eller e-mailadresse – datapunkter, der ofte offentliggøres med vilje – potentielt kan linke denne person tilbage til et pseudo-anonymt Twitter-håndtag, et resultat der det skulle bestemt ikke være muligt.
Selvom dette smuthul blev rettet i januar 2022, annoncerede Twitter det først offentligt i august 2022 og hævdede, at den indledende fejlrapport var en ansvarlig afsløring, der blev indsendt gennem dets bug bounty-system.
Det betyder (forudsat at dusørjægerne, der indsendte den, faktisk var de første til at finde den, og at de aldrig fortalte nogen andre), at den ikke blev behandlet som en nul-dag, og dermed at lappe den proaktivt ville forhindre sårbarheden i at bliver udnyttet.
I midten af 2022, dog Twitter fandt ud af Ellers:
I juli 2022 erfarede [Twitter] gennem en presserapport, at nogen potentielt havde udnyttet dette og tilbød at sælge de oplysninger, de havde samlet. Efter at have gennemgået et udsnit af de tilgængelige data til salg, bekræftede vi, at en dårlig aktør havde udnyttet problemet, før det blev løst.
En bredt udnyttet fejl
Nå, det ser nu ud til, at denne fejl kan være blevet udnyttet bredere, end den så først ud, hvis de nuværende data-svindlere faktisk fortæller sandheden om at have adgang til mere end 400 millioner skrabet Twitter-håndtag.
Som du kan forestille dig, vil en sårbarhed, der gør det muligt for kriminelle at finde de kendte telefonnumre på specifikke personer til ondsindede formål, såsom chikane eller forfølgelse, sandsynligvis også give angribere mulighed for at slå ukendte telefonnumre op, måske blot ved at generere omfattende, men sandsynlige lister baseret på nummerintervaller, der vides at være i brug, uanset om disse numre nogensinde faktisk er blevet udstedt eller ej.
Du ville sandsynligvis forvente, at en API som den, der angiveligt blev brugt her, ville inkludere en slags satsbegrænsende, for eksempel rettet mod at reducere antallet af forespørgsler, der er tilladt fra én computer i et givet tidsrum, så rimelig brug af API'en ikke ville blive hindret, men overdreven og derfor sandsynligvis misbrug ville blive begrænset.
Der er dog to problemer med den antagelse.
For det første skulle API'en ikke afsløre den information, den gjorde i første omgang.
Derfor er det rimeligt at tro, at hastighedsbegrænsning, hvis der faktisk var nogen, ikke ville have fungeret korrekt, da angriberne allerede havde fundet en dataadgangssti, som alligevel ikke blev kontrolleret korrekt.
For det andet angribere med adgang til et botnet, eller zombie netværk, af malware-inficerede computere kunne have brugt tusinder, måske endda millioner, af andre menneskers uskyldigt udseende computere, spredt over hele verden, til at udføre deres beskidte arbejde.
Dette ville give dem muligheden for at høste dataene i batcher, og dermed omgå enhver hastighedsbegrænsning ved at lave et beskedent antal anmodninger fra mange forskellige computere, i stedet for at have et lille antal computere, der hver især laver et for stort antal anmodninger.
Hvad fik skurkene fat i?
Sammenfattende: vi ved ikke, hvor mange af disse "+400 millioner" Twitter-håndtag er:
- Virkelig i brug. Vi kan antage, at der er masser af lukkede konti på listen, og måske konti, der aldrig har eksisteret, men som fejlagtigt blev inkluderet i de cyberkriminelles ulovlige undersøgelse. (Når du bruger en uautoriseret sti til en database, kan du aldrig være helt sikker på, hvor nøjagtige dine resultater vil være, eller hvor pålideligt du kan registrere, at et opslag mislykkedes).
- Ikke allerede offentligt forbundet med e-mails og telefonnumre. Nogle Twitter-brugere, især dem, der promoverer deres tjenester eller deres virksomhed, tillader villigt andre mennesker at forbinde deres e-mailadresse, telefonnummer og Twitter-håndtag.
- Inaktive konti. Det eliminerer ikke risikoen for at forbinde disse Twitter-håndtag med e-mails og telefonnumre, men der vil sandsynligvis være en masse konti på listen, som ikke vil være af meget eller endda nogen værdi for andre cyberkriminelle for nogen. en slags målrettet phishing-svindel.
- Allerede kompromitteret via andre kilder. Vi ser jævnligt enorme lister over data "stjålet fra X" til salg på det mørke web, selv når tjenesten X ikke har haft et nyligt brud eller en sårbarhed, fordi disse data tidligere var blevet stjålet fra et andet sted.
Ikke desto mindre avisen Guardian i Storbritannien rapporter at en prøve af dataene, der allerede er lækket af skurkene som en slags "smager", tyder stærkt på, at i det mindste en del af databasen med flere millioner rekorder på salg består af gyldige data, som ikke er blevet lækket før, var ikke Det skulle ikke være offentligt, og var næsten helt sikkert udtrukket fra Twitter.
Kort sagt, Twitter har masser af at forklare, og Twitter-brugere overalt vil sandsynligvis spørge: "Hvad betyder det, og hvad skal jeg gøre?"
Hvad er det værd?
Tilsyneladende synes skurkene selv at have vurderet indtastningerne i deres slyngede database til at have ringe individuel værdi, hvilket tyder på, at de ikke ser den personlige risiko ved at få dine data lækket på denne måde som frygtelig høj.
De beder tilsyneladende $200,000 for partiet for et engangssalg til en enkelt køber, som kommer ud på 1/20 af en amerikansk cent pr. bruger.
Eller de vil tage $60,000 fra en eller flere købere (tæt på 7000 konti pr. dollar), hvis ingen betaler den "eksklusive" pris.
Ironisk nok ser skurkenes hovedformål ud til at være at afpresse Twitter, eller i det mindste at bringe virksomheden i forlegenhed, idet de hævder, at:
Twitter og Elon Musk ... din bedste mulighed for at undgå at betale 276 millioner USD i bøder for brud på GDPR ... er udelukkende at købe disse data.
Men nu hvor katten er ude af sækken, i betragtning af at bruddet alligevel er blevet annonceret og offentliggjort, er det svært at forestille sig, hvordan en betaling på dette tidspunkt ville gøre Twitter GDPR-kompatibel.
Når alt kommer til alt, har skurkene tilsyneladende haft disse data i nogen tid allerede, kan godt have erhvervet dem fra en eller flere tredjeparter alligevel, og har allerede gået ud af deres måde at "bevise", at bruddet er reelt, og på skalaen hævdede.
Det skærmbillede af beskeden, som vi så, nævnte faktisk slet ikke sletning af dataene, hvis Twitter skulle betale (for så vidt som du kunne stole på, at skurkene alligevel ville slette dem).
Plakaten lovede blot det "Jeg vil slette denne tråd [på webforummet] og ikke sælge disse data igen."
Hvad skal jeg gøre?
Twitter kommer ikke til at betale sig, ikke mindst fordi der ikke er nogen mening i betragtning af, at enhver brudt data tilsyneladende blev stjålet for et år eller mere siden, så det kunne være (og sandsynligvis er) i hænderne på adskillige forskellige cybersvindlere efterhånden.
Så vores umiddelbare råd er:
- Vær opmærksom på e-mails, som du måske ikke tidligere havde troet kunne være svindel. Hvis du havde det indtryk, at linket mellem dit Twitter-håndtag og din e-mail-adresse ikke var almindeligt kendt, og derfor at e-mails, der nøjagtigt identificerede dit Twitter-navn, næppe ville komme fra upålidelige kilder... så lad være med at gøre det mere!
- Hvis du bruger dit telefonnummer til 2FA på Twitter, skal du være opmærksom på, at du kan være et mål for SIM-bytte. Det er her en skurk, der allerede kender din Twitter-adgangskode, får en nyt SIM-kort udstedt med dit nummer på, så du får øjeblikkelig adgang til dine 2FA-koder. Overvej at skifte din Twitter-konto til et 2FA-system, der ikke afhænger af dit telefonnummer, såsom at bruge en godkendelsesapp i stedet for.
- Overvej helt at droppe telefonbaseret 2FA. Brud som dette – selvom den sande total er et godt stykke under 400 millioner brugere – er en god påmindelse om, at selvom du har et privat telefonnummer, som du bruger til 2FA, er det overraskende almindeligt, at cyberskurke kan forbinde dit telefonnummer til specifikke onlinekonti beskyttet af dette nummer.
- blockchain
- brud
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- datatab
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- afpresning
- firewall
- Kaspersky
- malware
- Mcafee
- Naked Security
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- VPN
- website sikkerhed
- zephyrnet
![S3 Ep102: Sortering af fakta fra fiktion i hypede cybersikkerhedsnyheder [Audio + Transcript] PlatoBlockchain Data Intelligence. Lodret søgning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep102-cover-360x188.jpg "S3 Ep102: Sortering af fakta fra fiktion i hypede cybersikkerhedsnyheder [Lyd + transskription]")
![S3 Ep91: CodeRed, OpenSSL, Java-fejl og Office-makroer [Podcast + Transcript] PlatoBlockchain Data Intelligence. Lodret søgning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/nsp-1200-300x157.png "S3 Ep91: CodeRed, OpenSSL, Java-fejl og Office-makroer [Podcast + Transcript]")
