Δεδομένα Twitter για «+400 εκατομμύρια μοναδικούς χρήστες» προς πώληση – τι να κάνετε;

Ζεστό στο τακούνι της Έπος παραβίασης δεδομένων LastPass, το οποίο κυκλοφόρησε για πρώτη φορά τον Αύγουστο του 2022, έρχεται η είδηση ​​για παραβίαση του Twitter, προφανώς με βάση ένα σφάλμα του Twitter που έγινε πρωτοσέλιδο τον ίδιο μήνα.

Σύμφωνα με ένα στιγμιότυπο οθόνης δημοσιεύτηκε από τον ειδησεογραφικό ιστότοπο Bleeping Computer, ένας κυβερνοεγκληματίας έχει διαφημίσει:

Πουλάω δεδομένα +400 εκατομμυρίων μοναδικών χρηστών του Twitter που αποκόπηκαν μέσω μιας ευπάθειας, αυτά τα δεδομένα είναι εντελώς ιδιωτικά.

Και περιλαμβάνει email και αριθμούς τηλεφώνου διασημοτήτων, πολιτικών, εταιρειών, κανονικών χρηστών και πολλά OG και ειδικά ονόματα χρήστη.

Το OG, σε περίπτωση που δεν είστε εξοικειωμένοι με αυτόν τον όρο στο πλαίσιο των λογαριασμών στα μέσα κοινωνικής δικτύωσης, είναι συντομογραφία πρωτότυπη γκάνγκστα.,

Αυτή είναι μια αλληγορία (έχει γίνει mainstream, γιατί είναι κάπως προσβλητικό) για οποιονδήποτε λογαριασμό στα μέσα κοινωνικής δικτύωσης ή διαδικτυακό αναγνωριστικό με τόσο σύντομο και αστείο όνομα που πρέπει να είχε συλληφθεί νωρίς, όταν η υπηρεσία με την οποία σχετίζεται ήταν ολοκαίνουργια και λαουτζίκος δεν είχε ακόμη συγκεντρωθεί για να συμμετάσχει.

Έχοντας το ιδιωτικό κλειδί για το Bitcoin block 0, το λεγόμενο Genesis μπλοκ (επειδή δημιουργήθηκε, δεν εξορύχθηκε), θα ήταν ίσως το πιο OG πράγμα στον κυβερνοχώρο. κατέχοντας μια λαβή Twitter όπως @jack ή οποιοδήποτε σύντομο, γνωστό όνομα ή φράση, δεν είναι τόσο κουλ, αλλά σίγουρα περιζήτητο και δυνητικά πολύτιμο.

Τι υπάρχει προς πώληση;

Σε αντίθεση με την παραβίαση του LastPass, κανένα στοιχείο που σχετίζεται με τον κωδικό πρόσβασης, οι λίστες ιστότοπων που χρησιμοποιείτε ή οι διευθύνσεις σπιτιού δεν φαίνεται να κινδυνεύουν αυτή τη φορά.

Αν και οι απατεώνες πίσω από αυτό το ξεπούλημα των δεδομένων έγραψαν ότι οι πληροφορίες "περιλαμβάνει email και αριθμούς τηλεφώνου", φαίνεται πιθανό ότι είναι τα μόνα πραγματικά ιδιωτικά δεδομένα στο χωματερή, δεδομένου ότι φαίνεται ότι αποκτήθηκαν το 2021, χρησιμοποιώντας ένα ευπάθεια που το Twitter λέει ότι το διόρθωσε τον Ιανουάριο του 2022.

Αυτό το ελάττωμα προκλήθηκε από ένα API Twitter (διεπαφή προγραμματισμού εφαρμογών, ορολογία για "έναν επίσημο, δομημένο τρόπο δημιουργίας απομακρυσμένων ερωτημάτων για πρόσβαση σε συγκεκριμένα δεδομένα ή εκτέλεση συγκεκριμένων εντολών") που θα σας επέτρεπε να αναζητήσετε μια διεύθυνση email ή έναν αριθμό τηλεφώνου και να λάβετε μια απάντηση που όχι μόνο υποδείκνυε αν ήταν σε χρήση, αλλά και, αν ήταν, τη λαβή του λογαριασμού που σχετίζεται με αυτό.

Ο αμέσως προφανής κίνδυνος μιας τέτοιας γκάφας είναι ότι ένας καταδιώκτης, οπλισμένος με τον αριθμό τηλεφώνου ή τη διεύθυνση email κάποιου - σημεία δεδομένων που συχνά δημοσιοποιούνται επίτηδες - θα μπορούσε ενδεχομένως να συνδέσει αυτό το άτομο με μια ψευδο-ανώνυμη λαβή Twitter, ένα αποτέλεσμα που σίγουρα δεν έπρεπε να είναι δυνατό.

Αν και αυτό το κενό διορθώθηκε τον Ιανουάριο του 2022, το Twitter το ανακοίνωσε δημόσια μόλις τον Αύγουστο του 2022, υποστηρίζοντας ότι η αρχική αναφορά σφαλμάτων ήταν μια υπεύθυνη αποκάλυψη που υποβλήθηκε μέσω του συστήματος επιβράβευσης σφαλμάτων.

Αυτό σημαίνει (υποθέτοντας ότι οι κυνηγοί επικηρυγμένων που το υπέβαλαν ήταν πράγματι οι πρώτοι που το βρήκαν και ότι δεν το είπαν ποτέ σε κανέναν άλλο) ότι δεν αντιμετωπίστηκε ως μηδενική ημέρα, και επομένως ότι η επιδιόρθωση θα αποτρέψει προληπτικά την ευπάθεια από υπό εκμετάλλευση.

Στα μέσα του 2022, ωστόσο, το Twitter ανακάλυψα σε διαφορετική περίπτωση:

Τον Ιούλιο του 2022, το [Twitter] έμαθε μέσω μιας αναφοράς τύπου ότι κάποιος είχε δυνητικά αξιοποιήσει αυτό και προσφερόταν να πουλήσει τις πληροφορίες που είχε συγκεντρώσει. Αφού εξετάσαμε ένα δείγμα των διαθέσιμων δεδομένων προς πώληση, επιβεβαιώσαμε ότι ένας κακός ηθοποιός είχε εκμεταλλευτεί το ζήτημα πριν αντιμετωπιστεί.

Ένα σφάλμα που χρησιμοποιείται ευρέως

Λοιπόν, φαίνεται τώρα ότι αυτό το σφάλμα μπορεί να έχει αξιοποιηθεί ευρύτερα από ό,τι φάνηκε αρχικά, αν πράγματι οι τρέχοντες απατεώνες που διακινούν δεδομένα λένε την αλήθεια ότι έχουν πρόσβαση σε περισσότερες από 400 εκατομμύρια λαβές απόξεσης Twitter.

Όπως μπορείτε να φανταστείτε, μια ευπάθεια που επιτρέπει στους εγκληματίες να αναζητούν τους γνωστούς αριθμούς τηλεφώνου συγκεκριμένων ατόμων για κακόβουλους σκοπούς, όπως παρενόχληση ή καταδίωξη, είναι επίσης πιθανό να επιτρέψει στους εισβολείς να αναζητήσουν άγνωστους αριθμούς τηλεφώνου, ίσως απλώς δημιουργώντας εκτενείς αλλά πιθανές λίστες με βάση τα εύρη αριθμών που είναι γνωστό ότι χρησιμοποιούνται, είτε αυτοί οι αριθμοί έχουν εκδοθεί ποτέ είτε όχι.

Θα περιμένατε πιθανώς ένα API όπως αυτό που φέρεται ότι χρησιμοποιήθηκε εδώ να περιλαμβάνει κάποιο είδος περιορισμό ποσοστών, για παράδειγμα με στόχο τη μείωση του αριθμού των ερωτημάτων που επιτρέπονται από έναν υπολογιστή σε οποιαδήποτε δεδομένη χρονική περίοδο, έτσι ώστε να μην παρεμποδίζεται η λογική χρήση του API, αλλά να περιορίζεται η υπερβολική και κατά συνέπεια καταχρηστική χρήση.

Ωστόσο, υπάρχουν δύο προβλήματα με αυτή την υπόθεση.

Πρώτον, το API δεν έπρεπε να αποκαλύψει τις πληροφορίες που έκανε εξαρχής.

Επομένως, είναι λογικό να πιστεύουμε ότι ο περιορισμός ρυθμού, εάν πράγματι υπήρχε, δεν θα είχε λειτουργήσει σωστά, δεδομένου ότι οι εισβολείς είχαν ήδη βρει μια διαδρομή πρόσβασης δεδομένων που δεν ελέγχονταν σωστά ούτως ή άλλως.

Δεύτερον, εισβολείς με πρόσβαση σε botnet ή δίκτυο ζόμπι, υπολογιστών που έχουν μολυνθεί από κακόβουλο λογισμικό θα μπορούσαν να έχουν χρησιμοποιήσει χιλιάδες, ίσως ακόμη και εκατομμύρια, αθώους υπολογιστές άλλων ανθρώπων, εξαπλωμένους σε όλο τον κόσμο, για να κάνουν τη βρώμικη δουλειά τους.

Αυτό θα τους έδινε τα μέσα για να συλλέξουν τα δεδομένα σε παρτίδες, παρακάμπτοντας έτσι κάθε περιορισμό ρυθμού κάνοντας ένα μέτριο αριθμό αιτημάτων το καθένα από πολλούς διαφορετικούς υπολογιστές, αντί να έχει μικρό αριθμό υπολογιστών ο καθένας που κάνει υπερβολικό αριθμό αιτημάτων.

Τι έπιασαν οι απατεώνες;

Συνοπτικά: δεν γνωρίζουμε πόσα από αυτά τα «+400 εκατομμύρια» που χειρίζονται Twitter είναι:

• Γνήσια σε χρήση. Μπορούμε να υποθέσουμε ότι υπάρχουν πολλοί κλειστοί λογαριασμοί στη λίστα, και ίσως λογαριασμοί που δεν υπήρξαν ποτέ, αλλά συμπεριλήφθηκαν λανθασμένα στην παράνομη έρευνα των κυβερνοεγκληματιών. (Όταν χρησιμοποιείτε μια μη εξουσιοδοτημένη διαδρομή σε μια βάση δεδομένων, δεν μπορείτε ποτέ να είστε σίγουροι πόσο ακριβή θα είναι τα αποτελέσματά σας ή πόσο αξιόπιστα μπορείτε να εντοπίσετε ότι μια αναζήτηση απέτυχε.)
• Δεν είναι ήδη συνδεδεμένο δημόσια με email και αριθμούς τηλεφώνου. Ορισμένοι χρήστες του Twitter, ιδίως εκείνοι που προωθούν τις υπηρεσίες τους ή την επιχείρησή τους, επιτρέπουν πρόθυμα σε άλλα άτομα να συνδέσουν τη διεύθυνση email, τον αριθμό τηλεφώνου και τη λαβή Twitter.
• Ανενεργοί λογαριασμοί. Αυτό δεν εξαλείφει τον κίνδυνο σύνδεσης αυτών των χειρισμών του Twitter με email και αριθμούς τηλεφώνου, αλλά είναι πιθανό να υπάρχουν πολλοί λογαριασμοί στη λίστα που δεν θα έχουν μεγάλη, ή ακόμα και καμία, αξία για άλλους εγκληματίες του κυβερνοχώρου. είδος στοχευμένης απάτης phishing.
• Έχει ήδη παραβιαστεί μέσω άλλων πηγών. Βλέπουμε τακτικά τεράστιες λίστες δεδομένων που "κλαπούν από το X" προς πώληση στον σκοτεινό ιστό, ακόμη και όταν η υπηρεσία X δεν είχε πρόσφατη παραβίαση ή ευπάθεια, επειδή αυτά τα δεδομένα είχαν κλαπεί νωρίτερα από κάπου αλλού.

Ωστόσο, η εφημερίδα Guardian στο Ηνωμένο Βασίλειο εκθέσεις ότι ένα δείγμα των δεδομένων, που ήδη διέρρευσαν οι απατεώνες ως ένα είδος «δοκιμαστή», υποδηλώνει έντονα ότι τουλάχιστον μέρος της βάσης δεδομένων πολλών εκατομμυρίων αρχείων που πωλείται αποτελείται από έγκυρα δεδομένα, τα οποία δεν είχαν διαρρεύσει στο παρελθόν, Δεν έπρεπε να είναι δημόσιο και σχεδόν σίγουρα είχε εξαχθεί από το Twitter.

Με απλά λόγια, το Twitter έχει πολλές εξηγήσεις να κάνει και οι χρήστες του Twitter παντού είναι πιθανό να ρωτούν, "Τι σημαίνει αυτό και τι πρέπει να κάνω;"

Τι αξίζει;

Προφανώς, οι ίδιοι οι απατεώνες φαίνεται να έχουν αξιολογήσει τις εγγραφές στη βάση δεδομένων τους ως λίγη ατομική αξία, κάτι που υποδηλώνει ότι δεν βλέπουν τον προσωπικό κίνδυνο να διαρρεύσουν τα δεδομένα σας με αυτόν τον τρόπο τόσο πολύ υψηλό.

Προφανώς ζητούν 200,000 $ για την παρτίδα για μια εφάπαξ πώληση σε έναν μόνο αγοραστή, η οποία αποδίδεται στο 1/20 του σεντ των ΗΠΑ ανά χρήστη.

Ή θα πάρουν 60,000 $ από έναν ή περισσότερους αγοραστές (σχεδόν 7000 λογαριασμούς ανά δολάριο) εάν κανείς δεν πληρώσει την «αποκλειστική» τιμή.

Κατά ειρωνικό τρόπο, ο κύριος σκοπός των απατεώνων φαίνεται να είναι να εκβιάσουν το Twitter ή τουλάχιστον να φέρουν σε δύσκολη θέση την εταιρεία, υποστηρίζοντας ότι:

Twitter και Elon Musk… η καλύτερη επιλογή σας για να αποφύγετε να πληρώσετε 276 εκατομμύρια δολάρια σε πρόστιμα για παραβίαση του GDPR… είναι να αγοράσετε αποκλειστικά αυτά τα δεδομένα.

Αλλά τώρα που η γάτα είναι έξω από την τσάντα, δεδομένου ότι η παραβίαση έχει ανακοινωθεί και δημοσιοποιηθεί ούτως ή άλλως, είναι δύσκολο να φανταστεί κανείς πώς η πληρωμή σε αυτό το σημείο θα έκανε το Twitter να συμμορφώνεται με τον GDPR.

Εξάλλου, οι απατεώνες προφανώς είχαν αυτά τα δεδομένα εδώ και αρκετό καιρό, μπορεί κάλλιστα να τα έχουν αποκτήσει από ένα ή περισσότερα τρίτα μέρη ούτως ή άλλως, και έχουν ήδη κάνει τα πάντα για να «αποδείξουν» ότι η παραβίαση είναι πραγματική και σε μεγάλη κλίμακα ισχυρίστηκε.

Πράγματι, το στιγμιότυπο οθόνης του μηνύματος που είδαμε δεν ανέφερε καν τη διαγραφή των δεδομένων εάν το Twitter πλήρωνε (καθώς μπορούσες να εμπιστευτείς τους απατεώνες να το διαγράψουν ούτως ή άλλως).

Η αφίσα υποσχέθηκε μόνο αυτό "Θα διαγράψω αυτό το νήμα [στο φόρουμ ιστού] και δεν θα πουλήσω ξανά αυτά τα δεδομένα."

Τι να κάνω;

Το Twitter δεν πρόκειται να πληρώσει, κυρίως επειδή δεν έχει νόημα, δεδομένου ότι τυχόν παραβιασμένα δεδομένα κλάπηκαν προφανώς πριν από ένα χρόνο ή περισσότερο, επομένως θα μπορούσε (και πιθανότατα είναι) στα χέρια πολλών διαφορετικών απατεώνων στον κυβερνοχώρο.

Λοιπόν, η άμεση συμβουλή μας είναι:

• Λάβετε υπόψη σας τα μηνύματα ηλεκτρονικού ταχυδρομείου που ίσως δεν πιστεύατε προηγουμένως ότι είναι απάτες. Εάν είχατε την εντύπωση ότι η σύνδεση μεταξύ του χειριστηρίου Twitter και της διεύθυνσης email σας δεν ήταν ευρέως γνωστή και επομένως ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου που προσδιόριζαν ακριβώς το όνομά σας στο Twitter ήταν απίθανο να προέρχονται από μη αξιόπιστες πηγές… μην το κάνετε άλλο!
• Εάν χρησιμοποιείτε τον αριθμό τηλεφώνου σας για 2FA στο Twitter, να γνωρίζετε ότι μπορεί να γίνετε στόχος ανταλλαγής SIM. Εκεί ένας απατεώνας που γνωρίζει ήδη τον κωδικό πρόσβασής σας στο Twitter παίρνει ένα εκδόθηκε νέα κάρτα SIM με τον αριθμό σας επάνω, αποκτώντας έτσι άμεση πρόσβαση στους κωδικούς σας 2FA. Σκεφτείτε το ενδεχόμενο να αλλάξετε τον λογαριασμό σας στο Twitter σε ένα σύστημα 2FA που δεν εξαρτάται από τον αριθμό τηλεφώνου σας, όπως για παράδειγμα να χρησιμοποιήσετε μια εφαρμογή ελέγχου ταυτότητας.
• Εξετάστε το ενδεχόμενο να εγκαταλείψετε εντελώς το 2FA που βασίζεται σε τηλέφωνο. Παραβιάσεις όπως αυτή - ακόμα κι αν το πραγματικό σύνολο είναι πολύ κάτω από 400 εκατομμύρια χρήστες - είναι μια καλή υπενθύμιση ότι ακόμα κι αν έχετε έναν ιδιωτικό αριθμό τηλεφώνου που χρησιμοποιείτε για 2FA, είναι εκπληκτικά σύνηθες για τους cybercrooks να μπορούν να συνδέσουν τον αριθμό τηλεφώνου σας σε συγκεκριμένο διαδικτυακούς λογαριασμούς που προστατεύονται από αυτόν τον αριθμό.

---