बिक्री के लिए "400 मिलियन अद्वितीय उपयोगकर्ताओं" का ट्विटर डेटा - क्या करें?

की ऊँची एड़ी के जूते पर गर्म लास्टपास डेटा ब्रीच सागा, जो पहली बार अगस्त 2022 में प्रकाश में आया, एक ट्विटर ब्रीच की खबर आती है, जाहिर तौर पर एक ट्विटर बग पर आधारित है जिसने पहली बार उसी महीने में सुर्खियां बटोरी थीं।

एक स्क्रीनशॉट के अनुसार तैनात समाचार साइट ब्लीपिंग कंप्यूटर द्वारा, एक साइबर अपराधी ने विज्ञापन दिया है:

मैं +400 मिलियन अद्वितीय ट्विटर उपयोगकर्ताओं का डेटा बेच रहा हूं जो एक भेद्यता के माध्यम से स्क्रैप किया गया था, यह डेटा पूरी तरह से निजी है।

और इसमें मशहूर हस्तियों, राजनेताओं, कंपनियों, सामान्य उपयोगकर्ताओं के ईमेल और फ़ोन नंबर और बहुत सारे OG और विशेष उपयोगकर्ता नाम शामिल हैं।

OG, यदि आप सोशल मीडिया खातों के संदर्भ में उस शब्द से परिचित नहीं हैं, तो इसका संक्षिप्त नाम है मूल गैंगस्टा.,

यह किसी भी सोशल मीडिया अकाउंट या ऑनलाइन पहचानकर्ता के लिए एक रूपक है (यह मुख्य धारा बन गया है, क्योंकि यह कुछ हद तक आक्रामक है) इतने छोटे और फंकी नाम के साथ ऑनलाइन पहचानकर्ता के लिए इसे जल्दी ही तोड़ दिया गया होगा, जब यह जिस सेवा से संबंधित है वह बिल्कुल नई थी और जनसाधारण शामिल होने के लिए अभी तक झुंड नहीं आया था।

बिटकॉइन ब्लॉक 0 के लिए निजी कुंजी होने के कारण, तथाकथित उत्पत्ति ब्लॉक (क्योंकि यह बनाया गया था, खनन नहीं), साइबरलैंड में शायद सबसे ओजी चीज होगी; जैसे ट्विटर हैंडल का मालिक होना @jack या कोई छोटा, प्रसिद्ध नाम या वाक्यांश, उतना अच्छा नहीं है, लेकिन निश्चित रूप से मांग में है और संभावित रूप से काफी मूल्यवान है।

बिक्री के लिए क्या है?

लास्टपास ब्रीच के विपरीत, पासवर्ड से संबंधित कोई डेटा, आपके द्वारा उपयोग की जाने वाली वेबसाइटों की सूची या घर के पते इस समय जोखिम में नहीं हैं।

हालांकि इस डेटा सेल-ऑफ के पीछे बदमाशों ने लिखा है कि यह जानकारी "ईमेल और फोन नंबर शामिल हैं", ऐसा लगता है कि डंप में एकमात्र सही मायने में निजी डेटा है, यह देखते हुए कि ऐसा लगता है कि इसे 2021 में एक का उपयोग करके वापस प्राप्त किया गया था भेद्यता कि ट्विटर का कहना है कि इसे जनवरी 2022 में वापस तय किया गया।

वह दोष एक Twitter API के कारण हुआ था (एप्लीकेशन प्रोग्रामिंग इंटरफेस, शब्दजाल "विशिष्ट डेटा तक पहुँचने या विशिष्ट आदेशों को निष्पादित करने के लिए दूरस्थ प्रश्न बनाने का एक आधिकारिक, संरचित तरीका") जो आपको एक ईमेल पता या फ़ोन नंबर देखने की अनुमति देगा, और एक उत्तर वापस पाने के लिए जो न केवल संकेत करता है कि यह था उपयोग में है, लेकिन यह भी, अगर यह था, तो इससे जुड़े खाते का हैंडल।

इस तरह की गलती का तत्काल स्पष्ट जोखिम यह है कि एक शिकारी, किसी के फोन नंबर या ईमेल पते से लैस - डेटा बिंदु जो अक्सर उद्देश्य से सार्वजनिक किए जाते हैं - संभावित रूप से उस व्यक्ति को छद्म-अनाम ट्विटर हैंडल से जोड़ सकते हैं, एक परिणाम जो निश्चित रूप से संभव नहीं होना चाहिए था।

हालांकि इस खामी को जनवरी 2022 में ठीक कर लिया गया था, ट्विटर ने केवल अगस्त 2022 में सार्वजनिक रूप से इसकी घोषणा की, यह दावा करते हुए कि प्रारंभिक बग रिपोर्ट बग बाउंटी सिस्टम के माध्यम से प्रस्तुत एक जिम्मेदार प्रकटीकरण था।

इसका मतलब है (यह मानते हुए कि इसे जमा करने वाले बाउंटी शिकारी वास्तव में इसे खोजने वाले पहले व्यक्ति थे, और उन्होंने किसी और को कभी नहीं बताया) कि इसे शून्य-दिन के रूप में नहीं माना गया था, और इस प्रकार इसे पैच करने से भेद्यता को रोकने में मदद मिलेगी। शोषण किया जा रहा है।

हालांकि, 2022 के मध्य में, Twitter पता चला अन्यथा:

जुलाई 2022 में, [ट्विटर] को एक प्रेस रिपोर्ट के माध्यम से पता चला कि किसी ने संभावित रूप से इसका लाभ उठाया था और उनके द्वारा संकलित की गई जानकारी को बेचने की पेशकश कर रहा था। बिक्री के लिए उपलब्ध डेटा के एक नमूने की समीक्षा करने के बाद, हमने पुष्टि की कि एक बुरे अभिनेता ने समस्या का समाधान करने से पहले उसका फायदा उठाया था।

एक व्यापक रूप से शोषित बग

ठीक है, अब ऐसा लगता है कि इस बग का पहले दिखाई देने की तुलना में अधिक व्यापक रूप से शोषण किया जा सकता है, यदि वास्तव में वर्तमान डेटा-पेडलिंग बदमाश 400 मिलियन से अधिक स्क्रैप किए गए ट्विटर हैंडल तक पहुंच के बारे में सच्चाई बता रहे हैं।

जैसा कि आप कल्पना कर सकते हैं, एक भेद्यता जो अपराधियों को उत्पीड़न या पीछा करने जैसे नापाक उद्देश्यों के लिए विशिष्ट व्यक्तियों के ज्ञात फ़ोन नंबरों को देखने देती है, संभावित रूप से हमलावरों को अज्ञात फ़ोन नंबरों को देखने की अनुमति देती है, शायद केवल व्यापक लेकिन संभावित सूची बनाकर उपयोग में आने वाली ज्ञात संख्या श्रेणियों के आधार पर, चाहे वे संख्याएँ कभी वास्तव में जारी की गई हों या नहीं।

आप शायद एक एपीआई की अपेक्षा करेंगे जैसे कि कथित तौर पर यहां किसी प्रकार को शामिल करने के लिए इस्तेमाल किया गया था दर सीमित, उदाहरण के लिए किसी भी समय में एक कंप्यूटर से अनुमत प्रश्नों की संख्या को कम करने के उद्देश्य से, ताकि एपीआई के उचित उपयोग में बाधा न आए, लेकिन अत्यधिक और इसलिए संभवतः अपमानजनक उपयोग को कम किया जा सके।

हालाँकि, उस धारणा के साथ दो समस्याएं हैं।

सबसे पहले, एपीआई को उस जानकारी को प्रकट नहीं करना था जो उसने पहली बार में की थी।

इसलिए यह सोचना उचित है कि दर सीमित करना, यदि वास्तव में कोई होता, तो सही तरीके से काम नहीं करता, क्योंकि हमलावरों को पहले से ही एक डेटा एक्सेस पथ मिल गया था जिसे वैसे भी ठीक से जांचा नहीं जा रहा था।

दूसरे, बॉटनेट तक पहुंच रखने वाले हमलावर, या ज़ोंबी नेटवर्क, मैलवेयर-संक्रमित कंप्यूटर अपने गंदे काम करने के लिए दुनिया भर में फैले अन्य लोगों के मासूम दिखने वाले कंप्यूटरों के हजारों, शायद लाखों का उपयोग कर सकते थे।

इससे उन्हें बैचों में डेटा प्राप्त करने का साधन मिल जाएगा, इस प्रकार कम संख्या में कंप्यूटर होने के बजाय बहुत से अलग-अलग कंप्यूटरों से अनुरोधों की एक मामूली संख्या बनाकर किसी भी दर को सीमित करने से बचें।

बदमाशों के हाथ क्या लगा?

संक्षेप में: हम नहीं जानते कि इनमें से कितने “+400 मिलियन” ट्विटर हैंडल हैं:

• सही मायने में उपयोग में है। हम मान सकते हैं कि सूची में बहुत सारे बंद खाते हैं, और शायद ऐसे खाते जो कभी अस्तित्व में भी नहीं थे, लेकिन साइबर अपराधियों के गैरकानूनी सर्वेक्षण में गलती से शामिल थे। (जब आप किसी डेटाबेस में अनधिकृत पथ का उपयोग कर रहे हैं, तो आप कभी भी निश्चित नहीं हो सकते हैं कि आपके परिणाम कितने सटीक होने जा रहे हैं, या आप कितने भरोसेमंद रूप से पता लगा सकते हैं कि लुकअप विफल हो गया है।)
• ईमेल और फ़ोन नंबरों के साथ पहले से ही सार्वजनिक रूप से कनेक्ट नहीं है। कुछ ट्विटर उपयोगकर्ता, विशेष रूप से वे जो अपनी सेवाओं या अपने व्यवसाय को बढ़ावा दे रहे हैं, स्वेच्छा से अन्य लोगों को अपना ईमेल पता, फोन नंबर और ट्विटर हैंडल कनेक्ट करने की अनुमति देते हैं।
• निष्क्रिय खाते। यह उन ट्विटर हैंडल को ईमेल और फोन नंबरों के साथ जोड़ने के जोखिम को समाप्त नहीं करता है, लेकिन सूची में खातों का एक समूह होने की संभावना है जो किसी के लिए अन्य साइबर अपराधियों के लिए बहुत अधिक या किसी भी मूल्य का नहीं होगा। लक्षित फ़िशिंग घोटाले की तरह।
• पहले से ही अन्य स्रोतों के माध्यम से समझौता किया गया है। हम नियमित रूप से डार्क वेब पर बिक्री के लिए "एक्स से चोरी" डेटा की विशाल सूची देखते हैं, भले ही सेवा एक्स में हाल ही में कोई उल्लंघन या भेद्यता न हो, क्योंकि वह डेटा पहले कहीं और से चोरी हो गया था।

फिर भी, यूके में गार्जियन अखबार रिपोर्टों डेटा का एक नमूना, जो पहले से ही बदमाशों द्वारा "टेस्टर" के रूप में लीक किया गया था, दृढ़ता से सुझाव देता है कि बिक्री पर बहु-मिलियन-रिकॉर्ड डेटाबेस के कम से कम हिस्से में वैध डेटा होता है, जो पहले लीक नहीं हुआ था, 'सार्वजनिक नहीं होना चाहिए, और लगभग निश्चित रूप से ट्विटर से निकाला गया था।

सीधे शब्दों में कहें, ट्विटर के पास करने के लिए बहुत कुछ है, और हर जगह ट्विटर उपयोगकर्ताओं के पूछने की संभावना है, "इसका क्या मतलब है, और मुझे क्या करना चाहिए?"

इसका क्या मूल्य है?

जाहिरा तौर पर, बदमाशों ने स्वयं अपने चुराए गए डेटाबेस में प्रविष्टियों का आकलन किया है कि उनका व्यक्तिगत मूल्य बहुत कम है, जो बताता है कि वे आपके डेटा के इस तरह से लीक होने के व्यक्तिगत जोखिम को बहुत अधिक नहीं देखते हैं।

वे स्पष्ट रूप से एक खरीदार को एक बार की बिक्री के लिए लॉट के लिए $200,000 मांग रहे हैं, जो प्रति उपयोगकर्ता यूएस सेंट के 1/20 वें हिस्से पर आता है।

या यदि कोई "अनन्य" मूल्य का भुगतान नहीं करता है तो वे एक या अधिक खरीदारों (प्रति डॉलर के करीब 60,000 खाते) से $7000 लेंगे।

विडंबना यह है कि बदमाशों का मुख्य उद्देश्य ट्विटर को ब्लैकमेल करना या कम से कम कंपनी को शर्मिंदा करना है, यह दावा करते हुए कि:

ट्विटर और एलोन मस्क… जीडीपीआर उल्लंघन के जुर्माने में $276 मिलियन अमरीकी डालर का भुगतान करने से बचने का आपका सबसे अच्छा विकल्प… इस डेटा को विशेष रूप से खरीदना है।

लेकिन अब जब बिल्ली बैग से बाहर है, यह देखते हुए कि उल्लंघन की घोषणा की गई है और वैसे भी प्रचारित किया गया है, यह कल्पना करना मुश्किल है कि इस बिंदु पर भुगतान करने से ट्विटर जीडीपीआर का अनुपालन कैसे होगा।

आखिरकार, बदमाशों के पास स्पष्ट रूप से कुछ समय के लिए यह डेटा था, वैसे भी इसे एक या एक से अधिक तृतीय पक्षों से प्राप्त किया हो सकता है, और पहले से ही "साबित" करने के लिए अपने रास्ते से हट गए हैं कि उल्लंघन वास्तविक है, और बड़े पैमाने पर दावा किया।

वास्तव में, हमने जो संदेश स्क्रीनशॉट देखा, उसमें ट्विटर द्वारा भुगतान किए जाने पर डेटा को हटाने का उल्लेख नहीं किया गया था (क्योंकि आप वैसे भी इसे हटाने के लिए बदमाशों पर भरोसा कर सकते हैं)।

पोस्टर ने केवल यही वादा किया था "मैं [वेब फ़ोरम पर] इस थ्रेड को हटा दूंगा और इस डेटा को दोबारा नहीं बेचूंगा।"

क्या करना है?

चहचहाना भुगतान नहीं करने जा रहा है, कम से कम इसलिए नहीं कि इसमें बहुत कम बिंदु है, यह देखते हुए कि किसी भी उल्लंघन किए गए डेटा को स्पष्ट रूप से एक वर्ष या उससे अधिक पहले चोरी किया गया था, इसलिए यह अब तक कई अलग-अलग साइबर स्कैमर्स के हाथों में हो सकता है (और शायद है)।

तो, हमारी तत्काल सलाह है:

• उन ईमेलों से अवगत रहें जिनके बारे में आपने पहले सोचा भी नहीं होगा कि ये स्कैम हैं। यदि आप इस धारणा के तहत थे कि आपके ट्विटर हैंडल और आपके ईमेल पते के बीच का लिंक व्यापक रूप से ज्ञात नहीं था, और इसलिए आपके ट्विटर नाम की सटीक पहचान करने वाले ईमेल अविश्वसनीय स्रोतों से आने की संभावना नहीं थी ... अब ऐसा न करें!
• यदि आप Twitter पर 2FA के लिए अपने फ़ोन नंबर का उपयोग करते हैं, तो ध्यान रखें कि आप सिम स्वैपिंग का लक्ष्य हो सकते हैं। वहीं आपके ट्विटर पासवर्ड को पहले से जानने वाले बदमाश को ए नया सिम कार्ड जारी किया इस पर आपके नंबर के साथ, इस प्रकार आपके 2FA कोड तक तुरंत पहुंच प्राप्त होती है। अपने ट्विटर अकाउंट को 2FA सिस्टम में बदलने पर विचार करें जो आपके फोन नंबर पर निर्भर नहीं करता है, जैसे कि इसके बजाय ऑथेंटिकेटर ऐप का उपयोग करना।
• फ़ोन-आधारित 2FA को पूरी तरह से छोड़ने पर विचार करें। इस तरह के उल्लंघन - भले ही वास्तविक कुल 400 मिलियन उपयोगकर्ताओं से कम हो - एक अच्छा अनुस्मारक है कि भले ही आपके पास एक निजी फ़ोन नंबर है जिसका उपयोग आप 2FA के लिए करते हैं, यह आश्चर्यजनक रूप से सामान्य है कि साइबर बदमाश आपके फ़ोन नंबर को विशिष्ट से कनेक्ट करने में सक्षम हों उस संख्या द्वारा संरक्षित ऑनलाइन खाते।

---