Les données Twitter de "+400 millions d'utilisateurs uniques" en vente - que faire ?

Chaud sur les talons de la Saga de violation de données LastPass, qui a été révélé pour la première fois en août 2022, annonce une violation de Twitter, apparemment basée sur un bogue de Twitter qui a fait la une des journaux le même mois.

D'après une capture d'écran posté par le site d'information Bleeping Computer, un cybercriminel a annoncé :

Je vends les données de +400 millions d'utilisateurs uniques de Twitter qui ont été extraites via une vulnérabilité, ces données sont complètement privées.

Et cela inclut les e-mails et les numéros de téléphone de célébrités, de politiciens, d'entreprises, d'utilisateurs normaux et de nombreux noms d'utilisateur OG et spéciaux.

OG, au cas où vous ne seriez pas familier avec ce terme dans le contexte des comptes de médias sociaux, est l'abréviation de Gangsta original.,

C'est une métaphore (c'est devenu courant, malgré tout c'est quelque peu offensant) pour tout compte de réseau social ou identifiant en ligne avec un nom si court et funky qu'il a dû être récupéré très tôt, à l'époque où le service auquel il se rapporte était tout nouveau et gens du commun n'avaient pas encore afflué pour participer.

Avoir la clé privée pour le bloc Bitcoin 0, le soi-disant Bloc Genesis (parce qu'il a été créé, pas miné), serait peut-être la chose la plus OG du cyberland ; posséder un identifiant Twitter tel que @jack ou n'importe quel nom ou phrase court et bien connu, n'est pas aussi cool, mais certainement recherché et potentiellement très précieux.

Qu'y a-t-il à vendre ?

Contrairement à la violation de LastPass, aucune donnée liée au mot de passe, aucune liste de sites Web que vous utilisez ou aucune adresse personnelle ne semble être à risque cette fois.

Bien que les escrocs à l'origine de cette vente de données aient écrit que les informations "comprend les e-mails et les numéros de téléphone", il semble probable qu'il s'agisse des seules données véritablement privées du vidage, étant donné qu'elles semblent avoir été acquises en 2021, à l'aide d'un vulnérabilité que Twitter dit avoir corrigé en janvier 2022.

Cette faille a été causée par une API Twitter (Interface de programmation d'applications, jargon pour "une manière officielle et structurée de faire des requêtes à distance pour accéder à des données spécifiques ou exécuter des commandes spécifiques") qui vous permettrait de rechercher une adresse e-mail ou un numéro de téléphone, et d'obtenir une réponse qui non seulement indique si c'était en cours d'utilisation, mais aussi, le cas échéant, le pseudonyme du compte qui lui est associé.

Le risque immédiatement évident d'une erreur comme celle-ci est qu'un harceleur, armé du numéro de téléphone ou de l'adresse e-mail de quelqu'un - des points de données qui sont souvent rendus publics à dessein - pourrait potentiellement relier cet individu à un compte Twitter pseudo-anonyme, un résultat qui n'était certainement pas censé être possible.

Bien que cette faille ait été corrigée en janvier 2022, Twitter ne l'a annoncé publiquement qu'en août 2022, affirmant que le rapport de bogue initial était une divulgation responsable soumise via son système de prime de bogue.

Cela signifie (en supposant que les chasseurs de primes qui l'ont soumis étaient en effet les premiers à le trouver, et qu'ils n'en ont jamais parlé à personne d'autre) qu'il n'a pas été traité comme un jour zéro, et donc que le patcher empêcherait de manière proactive la vulnérabilité de étant exploité.

À la mi-2022, cependant, Twitter découvert autrement:

En juillet 2022, [Twitter] a appris par un article de presse que quelqu'un en avait potentiellement profité et proposait de vendre les informations qu'il avait compilées. Après avoir examiné un échantillon des données disponibles à la vente, nous avons confirmé qu'un mauvais acteur avait profité du problème avant qu'il ne soit résolu.

Un bug largement exploité

Eh bien, il semble maintenant que ce bogue ait été exploité plus largement qu'il ne l'était initialement, si en effet les escrocs actuels de trafic de données disent la vérité sur l'accès à plus de 400 millions de pseudos Twitter grattés.

Comme vous pouvez l'imaginer, une vulnérabilité qui permet aux criminels de rechercher les numéros de téléphone connus d'individus spécifiques à des fins néfastes, telles que le harcèlement ou le harcèlement, est susceptible également de permettre aux attaquants de rechercher des numéros de téléphone inconnus, peut-être simplement en générant des listes longues mais probables. sur la base de plages de numéros connues pour être utilisées, que ces numéros aient déjà été émis ou non.

Vous vous attendriez probablement à ce qu'une API telle que celle qui aurait été utilisée ici inclue une sorte de limitation de débit, visant par exemple à réduire le nombre de requêtes autorisées à partir d'un ordinateur sur une période donnée, de sorte que l'utilisation raisonnable de l'API ne soit pas entravée, mais qu'une utilisation excessive et donc probablement abusive soit limitée.

Cependant, il y a deux problèmes avec cette hypothèse.

Premièrement, l'API n'était pas censée révéler les informations qu'elle a révélées en premier lieu.

Par conséquent, il est raisonnable de penser que la limitation de débit, si elle existait, n'aurait pas fonctionné correctement, étant donné que les attaquants avaient déjà trouvé un chemin d'accès aux données qui n'était de toute façon pas vérifié correctement.

Deuxièmement, les attaquants ayant accès à un botnet, ou réseau de zombies, d'ordinateurs infectés par des logiciels malveillants auraient pu utiliser des milliers, voire des millions, d'ordinateurs d'autres personnes à l'apparence innocente, répartis dans le monde entier, pour faire leur sale boulot.

Cela leur donnerait les moyens de récolter les données par lots, contournant ainsi toute limitation de débit en effectuant un nombre modeste de requêtes chacune à partir de nombreux ordinateurs différents, au lieu d'avoir un petit nombre d'ordinateurs effectuant chacun un nombre excessif de requêtes.

De quoi les escrocs se sont-ils emparés ?

En résumé : nous ne savons pas combien de ces "+400 millions" de comptes Twitter sont :

• Véritablement en cours d'utilisation. Nous pouvons supposer qu'il y a beaucoup de comptes fermés dans la liste, et peut-être des comptes qui n'ont même jamais existé, mais qui ont été inclus par erreur dans l'enquête illégale des cybercriminels. (Lorsque vous utilisez un chemin non autorisé dans une base de données, vous ne pouvez jamais être sûr de la précision de vos résultats ou de la fiabilité avec laquelle vous pouvez détecter qu'une recherche a échoué.)
• Pas encore publiquement connecté avec des e-mails et des numéros de téléphone. Certains utilisateurs de Twitter, notamment ceux qui font la promotion de leurs services ou de leur entreprise, autorisent volontiers d'autres personnes à connecter leur adresse e-mail, leur numéro de téléphone et leur identifiant Twitter.
• Comptes inactifs. Cela n'élimine pas le risque de connecter ces identifiants Twitter avec des e-mails et des numéros de téléphone, mais il y a probablement un tas de comptes dans la liste qui n'auront pas beaucoup, voire aucune, valeur pour les autres cybercriminels pour tout sorte d'escroquerie par hameçonnage ciblée.
• Déjà compromis via d'autres sources. Nous voyons régulièrement d'énormes listes de données "volées à X" en vente sur le dark web, même lorsque le service X n'a ​​pas eu de faille ou de vulnérabilité récente, car ces données ont été volées plus tôt ailleurs.

Néanmoins, le journal britannique Guardian rapports qu'un échantillon des données, déjà divulguées par les escrocs comme une sorte de "dégustateur", suggère fortement qu'au moins une partie de la base de données de plusieurs millions d'enregistrements en vente se compose de données valides, n'a pas été divulguée auparavant, était 't censé être public, et a presque certainement été extrait de Twitter.

En termes simples, Twitter a beaucoup d'explications à donner, et les utilisateurs de Twitter du monde entier se demanderont probablement : « Qu'est-ce que cela signifie et que dois-je faire ?

Qu'est-ce que ça vaut?

Apparemment, les escrocs eux-mêmes semblent avoir évalué les entrées de leur base de données volée comme ayant peu de valeur individuelle, ce qui suggère qu'ils ne voient pas le risque personnel de voir vos données divulguées de cette manière comme terriblement élevé.

Ils demandent apparemment 200,000 1 $ pour le lot pour une vente unique à un seul acheteur, qui revient à 20/XNUMXe de cent US par utilisateur.

Ou ils prendront 60,000 7000 $ à un ou plusieurs acheteurs (près de XNUMX XNUMX comptes par dollar) si personne ne paie le prix « exclusif ».

Ironiquement, l'objectif principal des escrocs semble être de faire chanter Twitter, ou du moins d'embarrasser l'entreprise, affirmant que :

Twitter et Elon Musk... votre meilleure option pour éviter de payer 276 millions de dollars d'amendes pour violation du RGPD... est d'acheter ces données exclusivement.

Mais maintenant que le chat est sorti du sac, étant donné que la violation a été annoncée et rendue publique de toute façon, il est difficile d'imaginer comment payer à ce stade rendrait Twitter conforme au RGPD.

Après tout, les escrocs ont apparemment déjà ces données depuis un certain temps, pourraient bien les avoir acquises auprès d'un ou plusieurs tiers de toute façon, et ont déjà fait tout leur possible pour "prouver" que la violation est réelle et à l'échelle revendiqué.

En effet, la capture d'écran du message que nous avons vue ne mentionnait même pas la suppression des données si Twitter devait payer (dans la mesure où vous pouviez faire confiance aux escrocs pour les supprimer de toute façon).

L'affiche promettait simplement que "Je supprimerai ce fil [sur le forum Web] et je ne revendrai plus ces données."

Que faire?

Twitter ne va pas payer, notamment parce que cela ne sert à rien, étant donné que toutes les données piratées ont apparemment été volées il y a un an ou plus, elles pourraient donc être (et sont probablement) entre les mains de nombreux cyberescrocs différents à ce jour.

Donc, notre conseil immédiat est:

• Méfiez-vous des e-mails que vous ne pensiez peut-être pas auparavant être des escroqueries. Si vous aviez l'impression que le lien entre votre identifiant Twitter et votre adresse e-mail n'était pas largement connu, et donc que les e-mails identifiant exactement votre nom Twitter ne proviendraient probablement pas de sources non fiables… ne faites plus ça !
• Si vous utilisez votre numéro de téléphone pour 2FA sur Twitter, sachez que vous pourriez être la cible d'un échange de carte SIM. C'est là qu'un escroc qui connaît déjà votre mot de passe Twitter obtient un nouvelle carte SIM émise avec votre numéro dessus, obtenant ainsi un accès instantané à vos codes 2FA. Envisagez de basculer votre compte Twitter vers un système 2FA qui ne dépend pas de votre numéro de téléphone, par exemple en utilisant une application d'authentification à la place.
• Envisagez d'abandonner complètement la 2FA basée sur le téléphone. Des violations comme celle-ci - même si le total réel est bien inférieur à 400 millions d'utilisateurs - sont un bon rappel que même si vous avez un numéro de téléphone privé que vous utilisez pour 2FA, il est étonnamment courant que les cybercriminels puissent connecter votre numéro de téléphone à des comptes en ligne protégés par ce numéro.

---