Twitter-Daten von „+400 Millionen Unique Usern“ stehen zum Verkauf – was tun?

Auf den Fersen der LastPass-Datenpanne-Saga, das erstmals im August 2022 ans Licht kam, kommt die Nachricht von einer Twitter-Verletzung, die offenbar auf einem Twitter-Fehler basiert, der im selben Monat erstmals Schlagzeilen machte.

Laut Screenshot gepostet von der Nachrichtenseite Bleeping Computer hat ein Cyberkrimineller geworben:

Ich verkaufe Daten von über 400 Millionen einzelnen Twitter-Nutzern, die über eine Schwachstelle gekratzt wurden, diese Daten sind vollständig privat.

Und es enthält E-Mails und Telefonnummern von Prominenten, Politikern, Unternehmen, normalen Benutzern und vielen OG- und speziellen Benutzernamen.

OG, falls Sie diesen Begriff im Zusammenhang mit Social-Media-Konten nicht kennen, ist die Abkürzung für Original-Gangster.,

Das ist eine Metapher (es ist zum Mainstream geworden, obwohl es etwas anstößig ist) für jedes Social-Media-Konto oder jede Online-Kennung mit einem so kurzen und ausgefallenen Namen, dass es schon früh geschnappt worden sein muss, als der Dienst, auf den es sich bezieht, brandneu war und Pöbel war noch nicht gekommen, um mitzumachen.

Mit dem privaten Schlüssel für Bitcoin-Block 0, dem sogenannten Genesis-Block (weil es erstellt, nicht abgebaut wurde), wäre vielleicht das OG-Ding im Cyberland; Besitz eines Twitter-Handles wie z @jack oder jeder kurze, bekannte Name oder Satz, ist nicht ganz so cool, aber sicherlich begehrt und möglicherweise sehr wertvoll.

Was steht zum Verkauf?

Anders als bei LastPass scheinen diesmal keine passwortbezogenen Daten, Listen der von Ihnen verwendeten Websites oder Privatadressen gefährdet zu sein.

Obwohl die Gauner hinter diesem Datenverkauf schrieben, dass die Informationen „enthält E-Mail-Adressen und Telefonnummern“, es scheint wahrscheinlich, dass dies die einzigen wirklich privaten Daten im Dump sind, da sie anscheinend bereits im Jahr 2021 mit a erworben wurden Verwundbarkeit dass Twitter sagt, dass es im Januar 2022 behoben wurde.

Dieser Fehler wurde durch eine Twitter-API verursacht (Anwendungsprogrammierschnittstelle, Jargon für „eine offizielle, strukturierte Art, Fernabfragen zu stellen, um auf bestimmte Daten zuzugreifen oder bestimmte Befehle auszuführen“), die es Ihnen ermöglichen würde, eine E-Mail-Adresse oder Telefonnummer nachzuschlagen und eine Antwort zu erhalten, die nicht nur anzeigt, ob es sich um eine solche handelt verwendet wird, aber auch, falls ja, die Kennung des damit verbundenen Kontos.

Das unmittelbar offensichtliche Risiko eines solchen Fehlers besteht darin, dass ein Stalker, der mit der Telefonnummer oder E-Mail-Adresse einer Person bewaffnet ist – Datenpunkte, die oft absichtlich veröffentlicht werden – diese Person möglicherweise mit einem pseudoanonymen Twitter-Namen zurückverknüpfen könnte, was dazu führt sollte definitiv nicht möglich sein.

Obwohl diese Lücke im Januar 2022 gepatcht wurde, kündigte Twitter sie erst im August 2022 öffentlich an und behauptete, dass der erste Fehlerbericht eine verantwortungsbewusste Offenlegung war, die über sein Bug-Bounty-System eingereicht wurde.

Dies bedeutet (unter der Annahme, dass die Kopfgeldjäger, die es eingereicht haben, tatsächlich die ersten waren, die es gefunden haben, und dass sie es niemandem erzählt haben), dass es nicht als Zero-Day behandelt wurde, und daher würde das Patchen die Schwachstelle proaktiv verhindern ausgenutzt werden.

Mitte 2022 jedoch Twitter herausgefunden Andernfalls:

Im Juli 2022 erfuhr [Twitter] durch einen Pressebericht, dass jemand dies möglicherweise ausgenutzt hatte und anbot, die von ihm zusammengestellten Informationen zu verkaufen. Nachdem wir eine Stichprobe der zum Verkauf stehenden Daten überprüft hatten, bestätigten wir, dass ein Angreifer das Problem ausgenutzt hatte, bevor es angegangen wurde.

Ein weithin ausgenutzter Fehler

Nun, es sieht jetzt so aus, als ob dieser Fehler breiter ausgenutzt wurde, als es zunächst den Anschein hatte, wenn die aktuellen Datenhausierer tatsächlich die Wahrheit sagen, dass sie Zugriff auf mehr als 400 Millionen gekratzte Twitter-Handles haben.

Wie Sie sich vorstellen können, ermöglicht eine Schwachstelle, die es Kriminellen ermöglicht, die bekannten Telefonnummern bestimmter Personen für schändliche Zwecke wie Belästigung oder Stalking nachzuschlagen, Angreifern wahrscheinlich auch, unbekannte Telefonnummern nachzuschlagen, vielleicht einfach durch das Erstellen umfangreicher, aber wahrscheinlicher Listen basierend auf Nummernkreisen, von denen bekannt ist, dass sie verwendet werden, unabhängig davon, ob diese Nummern jemals tatsächlich vergeben wurden oder nicht.

Sie würden wahrscheinlich erwarten, dass eine API wie die, die hier angeblich verwendet wurde, eine Art von enthält Ratenbegrenzung, die beispielsweise darauf abzielen, die Anzahl der zulässigen Abfragen von einem Computer in einem bestimmten Zeitraum zu reduzieren, damit eine angemessene Nutzung der API nicht behindert, eine übermäßige und damit wahrscheinlich missbräuchliche Nutzung jedoch eingeschränkt wird.

Es gibt jedoch zwei Probleme mit dieser Annahme.

Erstens sollte die API die Informationen nicht preisgeben, die sie überhaupt gemacht hat.

Daher ist es vernünftig anzunehmen, dass die Ratenbegrenzung, falls es tatsächlich eine gegeben hätte, nicht richtig funktioniert hätte, da die Angreifer bereits einen Datenzugriffspfad gefunden hatten, der sowieso nicht ordnungsgemäß überprüft wurde.

Zweitens Angreifer mit Zugang zu einem Botnetz, bzw Zombie-Netzwerk, von Malware-infizierten Computern hätten Tausende, vielleicht sogar Millionen von unschuldig aussehenden Computern anderer Leute, die über die ganze Welt verteilt sind, für ihre Drecksarbeit verwenden können.

Dies würde ihnen die Möglichkeit geben, die Daten in Stapeln zu sammeln und so jede Ratenbegrenzung zu umgehen, indem sie jeweils eine bescheidene Anzahl von Anfragen von vielen verschiedenen Computern stellen, anstatt eine kleine Anzahl von Computern zu haben, die jeweils eine übermäßige Anzahl von Anfragen stellen.

Was haben die Gauner erwischt?

Zusammenfassend: Wir wissen nicht, wie viele dieser „+400 Millionen“ Twitter-Handles sind:

• Echt im Einsatz. Wir können davon ausgehen, dass die Liste viele geschlossene Konten enthält und möglicherweise Konten, die nie existierten, aber fälschlicherweise in die rechtswidrige Umfrage der Cyberkriminellen aufgenommen wurden. (Wenn Sie einen nicht autorisierten Pfad in eine Datenbank verwenden, können Sie nie ganz sicher sein, wie genau Ihre Ergebnisse sein werden oder wie zuverlässig Sie erkennen können, dass eine Suche fehlgeschlagen ist.)
• Nicht bereits öffentlich mit E-Mails und Telefonnummern verbunden. Einige Twitter-Nutzer, insbesondere diejenigen, die für ihre Dienste oder ihr Geschäft werben, erlauben anderen Personen bereitwillig, ihre E-Mail-Adresse, Telefonnummer und Twitter-Kennung zu verknüpfen.
• Inaktive Konten. Das eliminiert nicht das Risiko, diese Twitter-Handles mit E-Mail-Adressen und Telefonnummern zu verknüpfen, aber es gibt wahrscheinlich eine Reihe von Konten in der Liste, die für andere Cyberkriminelle keinen großen oder gar keinen Wert haben eine Art gezielter Phishing-Betrug.
• Bereits über andere Quellen kompromittiert. Wir sehen regelmäßig riesige Listen von „von X gestohlenen“ Daten, die im Dark Web zum Verkauf angeboten werden, selbst wenn Service X nicht kürzlich einen Verstoß oder eine Schwachstelle hatte, weil diese Daten früher von woanders gestohlen wurden.

Trotzdem, die Zeitung Guardian in Großbritannien Berichte dass eine Stichprobe der Daten, die bereits von den Gaunern als eine Art „Vorgeschmack“ geleakt wurde, stark darauf hindeutet, dass zumindest ein Teil der zum Verkauf stehenden Datenbank mit mehreren Millionen Datensätzen aus gültigen Daten besteht, die noch nie zuvor geleakt wurden Es sollte nicht öffentlich sein und wurde mit ziemlicher Sicherheit von Twitter extrahiert.

Einfach ausgedrückt, Twitter hat viel zu erklären, und Twitter-Nutzer überall werden wahrscheinlich fragen: „Was bedeutet das, und was soll ich tun?“

Was ist es wert?

Anscheinend haben die Gauner selbst die Einträge in ihrer entwendeten Datenbank als wenig individuellen Wert eingeschätzt, was darauf hindeutet, dass sie das persönliche Risiko eines solchen Durchsickerns Ihrer Daten nicht als sehr hoch einschätzen.

Sie verlangen offenbar 200,000 US-Dollar für das Los für einen einmaligen Verkauf an einen einzelnen Käufer, der bei 1/20 US-Cent pro Benutzer herauskommt.

Oder sie nehmen einem oder mehreren Käufern 60,000 Dollar ab (fast 7000 Konten pro Dollar), wenn niemand den „exklusiven“ Preis bezahlt.

Ironischerweise scheint der Hauptzweck der Gauner darin zu bestehen, Twitter zu erpressen oder zumindest das Unternehmen in Verlegenheit zu bringen, indem sie behaupten, dass:

Twitter und Elon Musk … Ihre beste Option, um die Zahlung von Bußgeldern bei DSGVO-Verstößen in Höhe von 276 Millionen US-Dollar zu vermeiden … ist, diese Daten exklusiv zu kaufen.

Aber jetzt, da die Katze aus dem Sack ist, ist es angesichts der Tatsache, dass der Verstoß ohnehin angekündigt und publik gemacht wurde, schwer vorstellbar, wie eine Zahlung an diesem Punkt Twitter DSGVO-konform machen würde.

Schließlich haben die Gauner diese Daten anscheinend schon seit einiger Zeit, haben sie möglicherweise sowieso von einem oder mehreren Dritten erworben und haben sich bereits alle Mühe gegeben, zu „beweisen“, dass der Verstoß real und in dem Ausmaß ist behauptet.

Tatsächlich erwähnte der Nachrichten-Screenshot, den wir gesehen haben, nicht einmal das Löschen der Daten, wenn Twitter zahlen würde (sofern Sie den Gaunern ohnehin vertrauen konnten, sie zu löschen).

Das Plakat versprach nur das „Ich werde diesen Thread [im Webforum] löschen und diese Daten nicht wieder verkaufen.“

Was ist zu tun?

Twitter wird nicht zahlen, nicht zuletzt, weil es wenig Sinn macht, da alle verletzten Daten anscheinend vor einem Jahr oder länger gestohlen wurden, sodass sie inzwischen in den Händen zahlreicher verschiedener Cyberbetrüger sein könnten (und wahrscheinlich sind).

Unser sofortiger Rat lautet daher:

• Achten Sie auf E-Mails, von denen Sie bisher nicht angenommen haben, dass es sich um Betrug handelt. Wenn Sie den Eindruck hatten, dass die Verbindung zwischen Ihrem Twitter-Namen und Ihrer E-Mail-Adresse nicht allgemein bekannt ist und dass E-Mails, die Ihren Twitter-Namen genau identifizieren, daher wahrscheinlich nicht aus nicht vertrauenswürdigen Quellen stammen … tun Sie das nicht mehr!
• Wenn Sie Ihre Telefonnummer für 2FA auf Twitter verwenden, seien Sie sich bewusst, dass Sie das Ziel eines SIM-Tauschs sein könnten. Hier bekommt ein Gauner, der Ihr Twitter-Passwort bereits kennt, einen neue SIM-Karte ausgestellt mit Ihrer Nummer darauf und erhalten so sofortigen Zugriff auf Ihre 2FA-Codes. Erwägen Sie, Ihr Twitter-Konto auf ein 2FA-System umzustellen, das nicht von Ihrer Telefonnummer abhängt, z. B. stattdessen eine Authentifizierungs-App zu verwenden.
• Erwägen Sie, telefonbasierte 2FA ganz aufzugeben. Verstöße wie diese – auch wenn die tatsächliche Gesamtzahl weit unter 400 Millionen Benutzern liegt – sind eine gute Erinnerung daran, dass selbst wenn Sie eine private Telefonnummer haben, die Sie für 2FA verwenden, es überraschend häufig vorkommt, dass Cyberkriminelle Ihre Telefonnummer mit einer bestimmten Person verbinden können Online-Konten, die durch diese Nummer geschützt sind.

---