Twitter-tiedot "+400 miljoonasta ainutlaatuisesta käyttäjästä" myynnissä – mitä tehdä?

Kuuma korkokengät LastPass-tietomurtosaaga, joka tuli ensimmäisen kerran julkisuuteen elokuussa 2022, tulee uutisia Twitterin rikkomuksesta, joka perustuu ilmeisesti Twitter-virheeseen, joka nousi ensimmäisen kerran otsikoihin samassa kuussa.

Kuvakaappauksen mukaan posted uutissivustolla Bleeping Computer, verkkorikollinen on mainostanut:

Myyn yli 400 miljoonan yksilöllisen Twitter-käyttäjän tietoja, jotka on kaavittu haavoittuvuuden kautta, nämä tiedot ovat täysin yksityisiä.

Ja se sisältää kuuluisuuksien, poliitikkojen, yritysten, tavallisten käyttäjien sähköpostit ja puhelinnumerot sekä paljon OG- ja erityisiä käyttäjätunnuksia.

OG, jos et tunne termiä sosiaalisen median tilien yhteydessä, on lyhenne sanoista alkuperäinen gangsta.,

Se on metafora (sitä on tullut valtavirtaa, kaikesta huolimatta, että se on jokseenkin loukkaavaa) mille tahansa sosiaalisen median tilille tai verkkotunnisteelle, jolla on niin lyhyt ja hauska nimi, että se on täytynyt napsauttaa varhain, kun palvelu, johon se liittyy, oli aivan uusi. ja rahvas ei ollut vielä kerääntynyt mukaan.

Bitcoin-lohkon 0 yksityinen avain, ns Genesis estää (koska se luotiin, ei louhittu), olisi ehkä OG-asia kybermaassa; omistaa Twitter-kahvan, kuten @jack tai mikä tahansa lyhyt, tunnettu nimi tai lause, ei ole aivan yhtä siistiä, mutta varmasti haluttu ja mahdollisesti varsin arvokas.

Mitä on myynnissä?

Toisin kuin LastPass-murto, salasanoihin liittyvät tiedot, käyttämiesi verkkosivustojen luettelot tai kotiosoitteet eivät näytä olevan tällä kertaa vaarassa.

Vaikka huijarit takana tämän tiedon myynnin kirjoitti, että tiedot "sisältää sähköpostit ja puhelinnumerot", näyttää todennäköiseltä, että se on ainoa todella yksityinen data kaatopaikassa, koska ne näyttävät hankitun vuonna 2021 käyttämällä alttius Twitterin mukaan se korjattiin tammikuussa 2022.

Tämä virhe johtui Twitter-sovellusliittymästä (sovellusohjelmointirajapinta, ammattislang, joka tarkoittaa "virallista, jäsenneltyä tapaa tehdä etäkyselyitä tiettyjen tietojen saamiseksi tai tiettyjen komentojen suorittamiseksi"), jonka avulla voit etsiä sähköpostiosoitteen tai puhelinnumeron ja saada takaisin vastauksen, joka ei ainoastaan ​​ilmoittanut, onko kyseessä käytössä, mutta myös siihen liittyvän tilin kahva, jos oli.

Välittömästi ilmeinen tällaisen kömpelön riski on se, että jonkun puhelinnumerolla tai sähköpostiosoitteella aseistettu jäljittäjä – tietopisteet, jotka usein julkistetaan tarkoituksella – voi mahdollisesti linkittää kyseisen henkilön takaisin pseudonimettömään Twitter-kahvaan, minkä seurauksena sen ei todellakaan pitänyt olla mahdollista.

Vaikka tämä porsaanreikä korjattiin tammikuussa 2022, Twitter ilmoitti siitä julkisesti vasta elokuussa 2022 väittäen, että alkuperäinen virheraportti oli vastuullinen paljastaminen, joka toimitettiin sen virhepalkkiojärjestelmän kautta.

Tämä tarkoittaa (olettaen, että sen lähettäneet palkkionmetsästäjät todellakin löysivät sen ensimmäisinä eivätkä koskaan kertoneet kenellekään muulle), että sitä ei pidetty nollapäivänä ja siten sen korjaaminen estäisi haavoittuvuuden ennakoivasti hyväksikäyttöä.

Vuoden 2022 puolivälissä kuitenkin Twitter saada selville muuten:

Heinäkuussa 2022 [Twitter] sai tiedon lehdistöraportista, että joku oli mahdollisesti hyödyntänyt tätä ja tarjoutui myymään keräämänsä tiedot. Tarkasteltuamme otosta saatavilla olevista myytävistä tiedoista vahvistimme, että huono toimija oli käyttänyt ongelmaa hyväkseen ennen kuin siihen puututtiin.

Laajasti hyödynnetty bugi

No, nyt näyttää siltä, ​​​​että tätä vikaa on saatettu hyödyntää laajemmin kuin se aluksi näytti, jos nykyiset datakauppiaat todellakin kertovat totuuden yli 400 miljoonan raaputun Twitter-kahvan käytöstä.

Kuten voitte kuvitella, haavoittuvuus, jonka avulla rikolliset voivat etsiä tiettyjen henkilöiden tunnettuja puhelinnumeroita ilkeitä tarkoituksia, kuten häirintää tai vainoamista varten, antaa todennäköisesti myös hyökkääjille mahdollisuuden etsiä tuntemattomia puhelinnumeroita, ehkä yksinkertaisesti luomalla laajoja mutta todennäköisiä luetteloita. perustuu numeroalueisiin, joiden tiedetään olevan käytössä, onko kyseisiä numeroita koskaan todella annettu vai ei.

Luultavasti odottaisit, että tässä väitetysti käytetyn sovellusliittymän kaltainen sovellusliittymä sisältää jonkinlaisen nopeutta rajoittava, jolla pyritään esimerkiksi vähentämään yhdeltä tietokoneelta tiettynä ajanjaksona sallittujen kyselyjen määrää, jotta API:n kohtuullinen käyttö ei estyisi, mutta liiallista ja siten todennäköisesti väärinkäyttöä rajoitettaisiin.

Tähän olettamukseen liittyy kuitenkin kaksi ongelmaa.

Ensinnäkin API:n ei pitänyt paljastaa tietoja, joita se alun perin teki.

Siksi on perusteltua olettaa, että nopeuden rajoitukset, jos niitä olisi, eivät olisi toimineet oikein, koska hyökkääjät olivat jo löytäneet datan pääsypolun, jota ei muutenkaan tarkistettu kunnolla.

Toiseksi hyökkääjät, joilla on pääsy bottiverkkoon, tai zombie verkko, haittaohjelmien saastuttamat tietokoneet olisivat saattaneet käyttää tuhansia, ehkä jopa miljoonia, muiden ihmisten viattoman näköisiä tietokoneita, jotka ovat levinneet ympäri maailmaa likaisen työnsä tekemiseen.

Tämä antaisi heille mahdollisuudet kerätä tiedot erissä, mikä ohittaa kaikki nopeusrajoitukset tekemällä vaatimattoman määrän pyyntöjä useista eri tietokoneista sen sijaan, että pieni määrä tietokoneita tekisi liikaa pyyntöjä.

Mitä roistot saivat kiinni?

Yhteenvetona: emme tiedä kuinka monta näistä "+400 miljoonasta" Twitter-kahvoista on:

• Aidosti käytössä. Voimme olettaa, että luettelossa on paljon suljettuja tilejä ja kenties tilejä, joita ei koskaan edes ollut olemassa, mutta jotka sisällytettiin virheellisesti kyberrikollisten laittomaan kyselyyn. (Kun käytät luvatonta polkua tietokantaan, et voi koskaan olla täysin varma siitä, kuinka tarkkoja tulokset tulevat olemaan tai kuinka luotettavasti voit havaita haun epäonnistumisen.)
• Ei vielä julkisesti yhdistetty sähköpostiin ja puhelinnumeroihin. Jotkut Twitterin käyttäjät, erityisesti ne, jotka mainostavat palveluitaan tai yritystään, antavat mielellään muiden ihmisten yhdistää sähköpostiosoitteensa, puhelinnumeronsa ja Twitter-kahvansa.
• Ei-aktiiviset tilit. Tämä ei poista riskiä yhdistää Twitter-kahvoja sähköposteihin ja puhelinnumeroihin, mutta luettelossa on todennäköisesti joukko tilejä, joilla ei ole paljon tai edes mitään arvoa muille kyberrikollisille. eräänlainen kohdennettu tietojenkalasteluhuijaus.
• Se on jo vaarantunut muista lähteistä. Näemme säännöllisesti valtavia luetteloita X:ltä varastetuista tiedoista, jotka myydään pimeässä verkossa, vaikka palvelussa X ei olisi viime aikoina ollut murtoa tai haavoittuvuutta, koska tiedot oli varastettu aiemmin jostain muualta.

Silti brittiläinen Guardian-sanomalehti raportit että näyte tiedoista, jotka roistot ovat jo vuotaneet eräänlaisena "maistajana", viittaa vahvasti siihen, että ainakin osa myynnissä olevasta usean miljoonan tietueen tietokannasta koostuu pätevistä tiedoista, joita ei ole vuotanut aiemmin, Sen ei pitänyt olla julkinen, ja se on melkein varmasti poimittu Twitteristä.

Yksinkertaisesti sanottuna Twitterillä on paljon selitettävää, ja Twitterin käyttäjät kaikkialla kysyvät todennäköisesti: "Mitä tämä tarkoittaa ja mitä minun pitäisi tehdä?"

Mitä se kannattaa?

Ilmeisesti roistot itse näyttävät arvioineen ryöstetyn tietokannan merkinnät vähäisiksi yksilöllisiksi arvoiksi, mikä viittaa siihen, että he eivät pidä henkilökohtaista riskiä tietojesi vuotamisesta tällä tavalla hirvittävän suurena.

He pyytävät ilmeisesti 200,000 1 dollaria erästä kertakaupasta yhdelle ostajalle, mikä on 20/XNUMX Yhdysvaltain sentistä käyttäjää kohti.

Tai he ottavat 60,000 7000 dollaria yhdeltä tai useammalta ostajalta (lähes XNUMX XNUMX tiliä dollaria kohden), jos kukaan ei maksa "yksinomaista" hintaa.

Iroinista kyllä, roistojen päätarkoituksena näyttää olevan kiristää Twitteriä tai ainakin nolata yritys väittäen, että:

Twitter ja Elon Musk… paras tapa välttää 276 miljoonan dollarin dollarin GDPR-rikkomussakkojen maksaminen… on ostaa nämä tiedot yksinomaan.

Mutta nyt, kun kissa on ulos pussista, koska rikkomuksesta on joka tapauksessa ilmoitettu ja julkistettu, on vaikea kuvitella, kuinka maksaminen tässä vaiheessa tekisi Twitteristä GDPR-yhteensopivan.

Onhan huijareilla ilmeisesti ollut nämä tiedot jo jonkin aikaa, he ovat saattaneet hankkia ne yhdeltä tai useammalta kolmannelta osapuolelta ja ovat jo yrittäneet "todistaa", että tietomurto on todellinen ja mittakaavassa. väitti.

Todellakin, näkemämme viestin kuvakaappaus ei edes maininnut tietojen poistamista, jos Twitter maksaisi (koska voit luottaa roistoihin sen poistavan joka tapauksessa).

Juliste lupasi vain sen "Poistan tämän ketjun [verkkofoorumilla] enkä myy näitä tietoja enää."

Mitä tehdä?

Twitter ei tule maksamaan, ei vähiten siksi, että siinä ei ole mitään järkeä, koska kaikki rikkoutuneet tiedot on ilmeisesti varastettu vuosi tai enemmän sitten, joten se voi olla (ja luultavasti on) useiden eri verkkohuijareiden käsissä.

Joten välitön neuvomme on:

• Ole tietoinen sähköposteista, joita et ehkä aiemmin uskonut huijauksiksi. Jos sait vaikutelman, että Twitter-kahvasi ja sähköpostiosoitteesi välinen yhteys ei ollut laajalti tiedossa, ja siksi sähköpostit, jotka tunnistivat Twitter-nimesi tarkasti, eivät todennäköisesti ole tulleet epäluotettavista lähteistä… älä tee sitä enää!
• Jos käytät puhelinnumeroasi 2FA:ta varten Twitterissä, ota huomioon, että saatat joutua SIM-kortin vaihdon kohteeksi. Siellä huijari, joka tietää jo Twitter-salasanasi, saa a uusi SIM-kortti myönnetty numerosi kanssa, jolloin saat välittömän pääsyn 2FA-koodeihisi. Harkitse Twitter-tilisi vaihtamista 2FA-järjestelmään, joka ei riipu puhelinnumerostasi, esimerkiksi todennussovelluksen käyttämistä sen sijaan.
• Harkitse puhelinpohjaisen 2FA:n luopumista kokonaan. Tämänkaltaiset rikkomukset – vaikka todellinen kokonaismäärä on reilusti alle 400 miljoonaa käyttäjää – ovat hyvä muistutus siitä, että vaikka sinulla olisi yksityinen puhelinnumero, jota käytät 2FA:ta varten, on yllättävän yleistä, että kyberrikolliset voivat yhdistää puhelinnumerosi tiettyyn tällä numerolla suojattuja online-tilejä.

---