Eladó „+400 millió egyedi felhasználó” Twitter-adatai – mit tegyünk?

Forró a sarkában a LastPass adatszivárgási saga, amely először 2022 augusztusában látott napvilágot, egy Twitter-sértésről szól, amely nyilvánvalóan egy Twitter-hibán alapul, amely még ugyanabban a hónapban került a címlapokra.

Egy képernyőkép szerint kiküldött A Bleeping Computer híroldal által egy kiberbűnöző ezt hirdette:

+400 millió egyedi Twitter-felhasználó adatát árulom, ami egy sebezhetőségen keresztül lett kikapart, ezek az adatok teljesen privátak.

És tartalmazza a hírességek, politikusok, cégek, normál felhasználók e-mailjeit és telefonszámait, valamint sok OG és speciális felhasználónevet.

Az OG, arra az esetre, ha nem ismerné ezt a kifejezést a közösségimédia-fiókok kontextusában, a rövidítése eredeti gangsta.,

Ez egy metafora (amely általánossá vált, bár kissé sértő) minden olyan közösségimédia-fiókra vagy online azonosítóra, amelynek olyan rövid és mókás neve van, hogy bizonyára már korán előkapták, még akkor, amikor a hozzá kapcsolódó szolgáltatás vadonatúj volt. és csőcselék még nem sereglett, hogy csatlakozzon.

A Bitcoin blokk 0 privát kulcsának birtokában az ún Genesis blokk (mert létrehozták, nem bányászták), talán a leginkább OG dolog lenne a kiberországban; Twitter-leíró birtoklása, mint pl @jack vagy bármilyen rövid, jól ismert név vagy kifejezés, nem annyira menő, de mindenképpen keresett és potenciálisan igen értékes.

Mi van eladó?

A LastPass megsértésével ellentétben úgy tűnik, hogy a jelszavakkal kapcsolatos adatok, az Ön által használt webhelyek listája vagy az otthoni címek ezúttal nincsenek veszélyben.

Bár az adatok eladása mögött álló szélhámosok azt írták, hogy az információ „E-maileket és telefonszámokat tartalmaz”, valószínűnek tűnik, hogy ez az egyetlen igazán privát adat a dumpban, mivel úgy tűnik, hogy ezeket még 2021-ben szerezték be egy sebezhetőség hogy a Twitter szerint még 2022 januárjában javították.

Ezt a hibát egy Twitter API okozta (alkalmazás programozási felület, szakzsargon „a távoli lekérdezések hivatalos, strukturált módja meghatározott adatok elérése vagy meghatározott parancsok végrehajtása érdekében”), amely lehetővé teszi, hogy megkeressen egy e-mail címet vagy telefonszámot, és olyan választ kapjon, amely nem csak azt jelzi, hogy használatban van, hanem, ha volt, a hozzá tartozó fiók kezelője is.

Az ehhez hasonló baklövés azonnali nyilvánvaló kockázata az, hogy valaki telefonszámával vagy e-mail címével felfegyverkezve - gyakran szándékosan nyilvánosságra hozott adatpontokkal - felfegyverkezve az adott személyt esetleg visszakapcsolhatja egy álnévtelen Twitter-kezelőhöz, aminek eredményeként határozottan nem lett volna lehetséges.

Bár ezt a kiskaput 2022 januárjában befoltozták, a Twitter csak 2022 augusztusában jelentette be nyilvánosan, azt állítva, hogy az eredeti hibajelentés felelősségteljes közzététel volt, amelyet a hibajavító rendszerén keresztül nyújtottak be.

Ez azt jelenti (feltéve, hogy valóban a beküldő fejvadászok találták meg először, és soha senki másnak nem mondták el), hogy nem nulla napként kezelték, és így a foltozás proaktívan megakadályozná a sebezhetőséget kihasználva.

2022 közepén azonban a Twitter kiderült másképp:

2022 júliusában a [Twitter] egy sajtóértesülésből értesült arról, hogy valaki ezt potenciálisan kihasználta, és felajánlotta, hogy eladja az általuk összegyűjtött információkat. Az eladásra kínált rendelkezésre álló adatok egy mintájának áttekintése után megerősítettük, hogy egy rossz szereplő kihasználta a problémát, mielőtt foglalkoztak vele.

Széles körben kihasznált hiba

Nos, most úgy tűnik, hogy ezt a hibát szélesebb körben használták ki, mint amilyennek először látszott, ha valóban a jelenlegi adatkeverő szélhámosok igazat mondanak arról, hogy hozzáfértek több mint 400 millió kikapart Twitter-leíróhoz.

Elképzelhető, hogy egy biztonsági rés, amely lehetővé teszi a bűnözők számára, hogy bizonyos személyek ismert telefonszámait aljas célokra, például zaklatás vagy üldözés céljából megkeressék, valószínűleg azt is lehetővé teszi a támadók számára, hogy ismeretlen telefonszámokat keressenek, talán egyszerűen kiterjedt, de valószínű listák létrehozásával. az ismerten használatos számtartományok alapján, függetlenül attól, hogy ezeket a számokat valaha is kiadták-e vagy sem.

Valószínűleg azt várná, hogy egy olyan API, mint amilyet állítólag itt használnak, tartalmazzon valamilyen API-t sebességkorlátozás, amelynek célja például az egy számítógépről egy adott időszakban engedélyezett lekérdezések számának csökkentése, hogy az API ésszerű használata ne legyen akadályozva, de a túlzott és ezért valószínűleg visszaélésszerű használat visszaszoruljon.

Ezzel a feltételezéssel azonban két probléma is van.

Először is, az API-nak nem kellett volna felfednie azokat az információkat, amelyeket az első helyen tett.

Ezért indokolt azt gondolni, hogy a sebességkorlátozás, ha valóban volt ilyen, nem működött volna megfelelően, mivel a támadók már találtak olyan adatelérési utat, amelyet egyébként nem ellenőriztek megfelelően.

Másodszor, a botnethez hozzáféréssel rendelkező támadók, ill zombi hálózat, a rosszindulatú programokkal fertőzött számítógépek ezreit, esetleg millióit használhatták fel mások ártatlannak tűnő számítógépeiből, amelyek az egész világon elterjedtek piszkos munkájuk elvégzésére.

Ez lehetővé tenné számukra, hogy kötegekben gyűjtsék össze az adatokat, így megkerülve a sebességkorlátozást azáltal, hogy szerény számú kérést küldenek sok különböző számítógépről, ahelyett, hogy kevés számítógépen túl sok kérést küldenének.

Mit kaptak a szélhámosok?

Összefoglalva: nem tudjuk, hány „+400 milliós” Twitter-kezelő van:

• Valóban használatban. Feltételezhetjük, hogy rengeteg lezárt fiók található a listán, és talán olyan fiókok is, amelyek soha nem is léteztek, de tévesen szerepeltek a kiberbűnözők jogellenes felmérésében. (Ha jogosulatlan elérési utat használ egy adatbázishoz, soha nem lehet egészen biztos abban, hogy az eredmények mennyire lesznek pontosak, vagy mennyire megbízhatóan észlelheti, hogy a keresés sikertelen volt.)
• Még nem csatlakozott nyilvánosan e-mail-címekkel és telefonszámokkal. Egyes Twitter-felhasználók, különösen azok, akik szolgáltatásaikat vagy vállalkozásukat reklámozzák, szívesen megengedik másoknak, hogy összekapcsolják e-mail címüket, telefonszámukat és Twitter-kezelőjüket.
• Inaktív fiókok. Ez nem szünteti meg annak kockázatát, hogy a Twitter-kezelőket e-mailekkel és telefonszámokkal összekapcsolják, de valószínűleg egy csomó olyan fiók lesz a listán, amely nem lesz sok, sőt egyáltalán nem értékes más kiberbűnözők számára. egyfajta célzott adathalász csalás.
• Más forrásokból már veszélybe került. Rendszeresen látunk hatalmas listákat az X-től ellopott adatokról, amelyeket eladásra kínálnak a sötét weben, még akkor is, ha az X szolgáltatást a közelmúltban nem sértették meg vagy sérülékenyek, mert ezeket az adatokat korábban ellopták valahonnan máshonnan.

Ennek ellenére a Guardian újság az Egyesült Királyságban jelentések hogy az adatok egy mintája, amelyet a szélhámosok amolyan „kóstolóként” már kiszivárogtattak, erősen arra utal, hogy az árusított több millió rekordot tartalmazó adatbázis legalább egy része érvényes adatokból áll, amelyeket korábban nem szivárogtattak ki, Nem kellett volna nyilvánosnak lennie, és szinte biztosan a Twitterről származott.

Egyszerűen fogalmazva, a Twitternek rengeteg magyaráznivalója van, és a Twitter-felhasználók mindenhol valószínűleg azt kérdezik: „Mit jelent ez, és mit tegyek?”

Mit ér?

Úgy tűnik, maguk a szélhámosok úgy ítélték meg, hogy az ellopott adatbázisuk bejegyzései csekély egyéni értékkel bírnak, ami azt sugallja, hogy nem látják túl nagynak az Ön adatainak így kiszivárogtatásának személyes kockázatát.

Nyilvánvalóan 200,000 1 dollárt kérnek a tételért egyetlen vevőnek történő egyszeri eladásért, ami felhasználónként egy amerikai cent 20/XNUMX-a.

Vagy 60,000 7000 dollárt vesznek el egy vagy több vevőtől (dollárként közel XNUMX számlát), ha senki nem fizeti ki az „exkluzív” árat.

Iroinikus módon a szélhámosok fő célja a Twitter megzsarolása, vagy legalábbis a cég megszégyenítése, azt állítva, hogy:

Twitter és Elon Musk… a legjobb megoldás, hogy elkerülje a GDPR megsértése miatti 276 millió dolláros bírság megfizetését… az, ha kizárólag ezeket az adatokat vásárolja meg.

De most, hogy a macska kikerült a zsákból, tekintettel arra, hogy a jogsértést egyébként is bejelentették és nyilvánosságra hozták, nehéz elképzelni, hogy ezen a ponton történő fizetés hogyan teszi a Twitter GDPR-kompatibilissá.

Hiszen a szélhámosok láthatóan már egy ideje birtokában vannak ezeknek az adatoknak, valószínűleg egy vagy több harmadik féltől szerezték meg őket, és már mindent megtettek annak érdekében, hogy „bizonyítsák”, hogy a jogsértés valós, mégpedig olyan mértékben. állította.

Valójában az üzenet képernyőképe, amelyet láttunk, még csak nem is említette az adatok törlését, ha a Twitter fizetne (mivel egyébként megbízhat a szélhámosokban, hogy törlik).

A plakát csak ezt ígérte "Törölöm ezt a szálat [a webfórumon], és nem adom el újra ezeket az adatokat."

Mit kell tenni?

A Twitter nem fog kifizetődni, már csak azért sem, mert nincs sok értelme, tekintve, hogy a feltört adatokat egy éve vagy még régebben ellopták, így mára számos különböző kibercsaló kezében lehet (és valószínűleg az is).

Tehát azonnali tanácsunk a következő:

• Ügyeljen azokra az e-mailekre, amelyeket korábban valószínűleg nem gondolt csalásnak. Ha az a benyomása volt, hogy a Twitter-kezelője és az e-mail címe közötti kapcsolat nem volt széles körben ismert, és ezért nem valószínű, hogy a Twitter-nevét pontosan azonosító e-mailek nem megbízható forrásból származnak… ne tegye ezt többé!
• Ha a telefonszámát használja a 2FA-hoz a Twitteren, ne feledje, hogy SIM-csere célpontja lehet. Itt kap egy szélhámos, aki már ismeri a Twitter jelszavát új SIM kártya kiadása számával, így azonnali hozzáférést kap a 2FA kódokhoz. Fontolja meg Twitter-fiókjának átváltását egy olyan 2FA-rendszerre, amely nem függ a telefonszámától, például használjon helyette egy hitelesítő alkalmazást.
• Fontolja meg a telefon alapú 2FA teljes elhagyását. Az ehhez hasonló jogsértések – még akkor is, ha a valós teljes szám jóval 400 millió felhasználó alatt van – jól emlékeztetnek arra, hogy még ha van is egy privát telefonszáma, amelyet a 2FA-hoz használ, meglepően gyakori, hogy a kiberbűnözők hozzá tudják kapcsolni a telefonszámát bizonyos ezzel a számmal védett online fiókok.

---