Panas pada tumit Kisah pelanggaran data LastPass, yang pertama kali terungkap pada Agustus 2022, muncul berita tentang pelanggaran Twitter, yang tampaknya didasarkan pada bug Twitter yang pertama kali menjadi berita utama di bulan yang sama.
Menurut tangkapan layar diposting oleh situs berita Bleeping Computer, penjahat dunia maya telah mengiklankan:
Saya menjual data +400 juta pengguna Twitter unik yang diambil melalui kerentanan, data ini sepenuhnya bersifat pribadi.
Dan itu termasuk email dan nomor telepon selebritas, politisi, perusahaan, pengguna biasa, dan banyak OG dan nama pengguna khusus.
OG, jika Anda tidak terbiasa dengan istilah itu dalam konteks akun media sosial, adalah kependekan dari gangsta asli.,
Itu adalah metafora (itu menjadi arus utama, untuk semua itu agak ofensif) untuk akun media sosial atau pengenal online apa pun dengan nama yang pendek dan funky sehingga pasti sudah tersentak sejak awal, ketika layanan yang terkait dengannya masih baru. dan hoi polloi belum berbondong-bondong untuk bergabung.
Memiliki kunci pribadi untuk blok Bitcoin 0, yang disebut Blok Genesis (karena itu dibuat, bukan ditambang), mungkin akan menjadi hal paling OG di dunia maya; memiliki pegangan Twitter seperti @jack atau nama atau frasa pendek dan terkenal apa pun, tidak terlalu keren, tetapi pasti dicari dan berpotensi cukup berharga.
Apa yang dijual?
Berbeda dengan pelanggaran LastPass, tidak ada data terkait kata sandi, daftar situs web yang Anda gunakan atau alamat rumah tampaknya berisiko kali ini.
Meskipun penjahat di balik penjualan data ini menulis informasi itu “termasuk email dan nomor telepon”, sepertinya itu satu-satunya data yang benar-benar pribadi di dump, mengingat tampaknya telah diperoleh kembali pada tahun 2021, menggunakan kerentanan bahwa Twitter mengatakan itu diperbaiki kembali pada Januari 2022.
Cacat itu disebabkan oleh API Twitter (antarmuka pemrograman aplikasi, jargon untuk “cara resmi dan terstruktur untuk membuat kueri jarak jauh untuk mengakses data tertentu atau melakukan perintah tertentu”) yang memungkinkan Anda mencari alamat email atau nomor telepon, dan mendapatkan kembali balasan yang tidak hanya menunjukkan apakah itu digunakan, tetapi juga, jika itu, pegangan akun yang terkait dengannya.
Risiko yang segera terlihat dari kesalahan seperti ini adalah bahwa seorang penguntit, dipersenjatai dengan nomor telepon atau alamat email seseorang – poin data yang sering dipublikasikan dengan sengaja – berpotensi menghubungkan individu tersebut kembali ke pegangan Twitter pseudo-anonim, sebuah hasil yang pasti tidak seharusnya mungkin.
Meskipun celah ini telah ditambal pada Januari 2022, Twitter baru mengumumkannya secara publik pada Agustus 2022, mengklaim bahwa laporan bug awal adalah pengungkapan yang bertanggung jawab yang disampaikan melalui sistem hadiah bugnya.
Ini berarti (dengan asumsi bahwa pemburu hadiah yang mengirimkannya memang yang pertama menemukannya, dan bahwa mereka tidak pernah memberi tahu orang lain) bahwa itu tidak diperlakukan sebagai hari nol, dan dengan demikian menambalnya akan secara proaktif mencegah kerentanan dari sedang dieksploitasi.
Namun, pada pertengahan 2022, Twitter menemukan jika tidak:
Pada Juli 2022, [Twitter] mengetahui melalui laporan pers bahwa seseorang berpotensi memanfaatkan ini dan menawarkan untuk menjual informasi yang telah mereka kumpulkan. Setelah meninjau sampel data yang tersedia untuk dijual, kami mengonfirmasi bahwa pelaku jahat telah memanfaatkan masalah ini sebelum ditangani.
Bug yang dieksploitasi secara luas
Yah, sekarang tampaknya bug ini mungkin telah dieksploitasi lebih luas daripada yang pertama kali muncul, jika memang penjahat penjaja data saat ini mengatakan yang sebenarnya tentang memiliki akses ke lebih dari 400 juta pegangan Twitter yang tergores.
Seperti yang dapat Anda bayangkan, kerentanan yang memungkinkan penjahat mencari nomor telepon yang diketahui dari individu tertentu untuk tujuan jahat, seperti melecehkan atau menguntit, kemungkinan besar juga memungkinkan penyerang mencari nomor telepon yang tidak dikenal, mungkin hanya dengan membuat daftar yang ekstensif tetapi mungkin. berdasarkan rentang angka yang diketahui digunakan, apakah angka tersebut pernah benar-benar dikeluarkan atau tidak.
Anda mungkin mengharapkan API seperti yang diduga digunakan di sini untuk memasukkan semacam pembatasan tarif, misalnya ditujukan untuk mengurangi jumlah kueri yang diizinkan dari satu komputer dalam jangka waktu tertentu, sehingga penggunaan API yang wajar tidak akan terhalang, tetapi penggunaan yang berlebihan dan kemungkinan penyalahgunaan akan dibatasi.
Namun, ada dua masalah dengan asumsi itu.
Pertama, API seharusnya tidak mengungkapkan informasi yang dilakukannya sejak awal.
Oleh karena itu masuk akal untuk berpikir bahwa pembatasan kecepatan, jika memang ada, tidak akan berfungsi dengan benar, mengingat penyerang telah menemukan jalur akses data yang toh tidak diperiksa dengan benar.
Kedua, penyerang dengan akses ke botnet, atau jaringan zombi, dari komputer yang terinfeksi malware dapat menggunakan ribuan, bahkan mungkin jutaan, komputer orang lain yang tampak tidak bersalah, yang tersebar di seluruh dunia, untuk melakukan pekerjaan kotor mereka.
Ini akan memberi mereka sarana untuk memanen data dalam batch, sehingga menghindari pembatasan kecepatan dengan membuat sejumlah kecil permintaan masing-masing dari banyak komputer yang berbeda, alih-alih memiliki sejumlah kecil komputer yang masing-masing membuat permintaan dalam jumlah berlebihan.
Apa yang didapat para penjahat itu?
Singkatnya: kami tidak tahu berapa banyak dari "+400 juta" pegangan Twitter itu:
- Benar-benar digunakan. Kami dapat mengasumsikan ada banyak akun yang ditutup dalam daftar, dan mungkin akun yang bahkan tidak pernah ada, tetapi secara keliru dimasukkan dalam survei ilegal penjahat dunia maya. (Ketika Anda menggunakan jalur yang tidak sah ke database, Anda tidak akan pernah bisa yakin seberapa akurat hasil Anda nantinya, atau seberapa andal Anda dapat mendeteksi bahwa pencarian gagal.)
- Belum terhubung secara publik dengan email dan nomor telepon. Beberapa pengguna Twitter, terutama mereka yang mempromosikan layanan atau bisnis mereka, dengan rela mengizinkan orang lain untuk menghubungkan alamat email, nomor telepon, dan akun Twitter mereka.
- Akun tidak aktif. Itu tidak menghilangkan risiko menghubungkan pegangan Twitter itu dengan email dan nomor telepon, tetapi kemungkinan ada banyak akun dalam daftar yang tidak akan banyak, atau bahkan bernilai apa pun, bagi penjahat dunia maya lain untuk apa pun. semacam penipuan phishing yang ditargetkan.
- Sudah dikompromikan melalui sumber lain. Kami sering melihat daftar besar data yang "dicuri dari X" untuk dijual di web gelap, bahkan ketika layanan X belum mengalami pelanggaran atau kerentanan baru-baru ini, karena data tersebut sebelumnya telah dicuri dari tempat lain.
Namun demikian, surat kabar Guardian di Inggris laporan bahwa sampel data, yang telah dibocorkan oleh penjahat sebagai semacam "penguji", sangat menyarankan bahwa setidaknya sebagian dari database multi-juta rekaman yang dijual terdiri dari data yang valid, belum pernah dibocorkan sebelumnya, bukan tidak seharusnya dipublikasikan, dan hampir pasti diambil dari Twitter.
Sederhananya, Twitter memiliki banyak penjelasan yang harus dilakukan, dan pengguna Twitter di mana pun cenderung bertanya, "Apa artinya ini, dan apa yang harus saya lakukan?"
Apa nilainya?
Rupanya, para penjahat itu sendiri tampaknya telah menilai entri dalam database curian mereka memiliki nilai individu yang kecil, yang menunjukkan bahwa mereka tidak melihat risiko pribadi dari kebocoran data Anda dengan cara ini sangat tinggi.
Mereka tampaknya meminta $200,000 untuk penjualan satu kali kepada satu pembeli, yang hasilnya 1/20 sen AS per pengguna.
Atau mereka akan mengambil $60,000 dari satu atau lebih pembeli (mendekati 7000 akun per dolar) jika tidak ada yang membayar harga "eksklusif".
Ironisnya, tujuan utama para penjahat tampaknya untuk memeras Twitter, atau setidaknya untuk mempermalukan perusahaan, mengklaim bahwa:
Twitter dan Elon Musk… opsi terbaik Anda untuk menghindari membayar $276 juta USD dalam denda pelanggaran GDPR… adalah dengan membeli data ini secara eksklusif.
Tapi sekarang kucing keluar dari tas, mengingat bahwa pelanggaran telah diumumkan dan dipublikasikan, sulit membayangkan bagaimana membayar pada saat ini akan membuat Twitter mematuhi GDPR.
Lagi pula, para penjahat tampaknya telah memiliki data ini untuk beberapa waktu, mungkin juga telah memperolehnya dari satu atau lebih pihak ketiga, dan telah berusaha keras untuk "membuktikan" bahwa pelanggaran itu nyata, dan dalam skala besar. diklaim.
Memang, tangkapan layar pesan yang kami lihat bahkan tidak menyebutkan penghapusan data jika Twitter membayar (sejauh Anda bisa mempercayai para penjahat untuk tetap menghapusnya).
Poster itu hanya menjanjikan itu “Saya akan menghapus utas ini [di forum web] dan tidak akan menjual data ini lagi.”
Apa yang harus dilakukan?
Twitter tidak akan membayar, paling tidak karena ada sedikit gunanya, mengingat data yang dilanggar tampaknya dicuri setahun atau lebih yang lalu, sehingga bisa (dan mungkin) ada di tangan banyak penipu dunia maya sekarang.
Jadi, saran langsung kami adalah:
- Waspadai email yang mungkin sebelumnya tidak Anda duga sebagai penipuan. Jika Anda mendapat kesan bahwa tautan antara pegangan Twitter dan alamat email Anda tidak diketahui secara luas, dan oleh karena itu email yang secara persis mengidentifikasi nama Twitter Anda tidak mungkin berasal dari sumber yang tidak tepercaya… jangan lakukan itu lagi!
- Jika Anda menggunakan nomor telepon Anda untuk 2FA di Twitter, ketahuilah bahwa Anda bisa menjadi target pertukaran SIM. Di situlah penjahat yang sudah mengetahui kata sandi Twitter Anda mendapatkan a kartu SIM baru dikeluarkan dengan nomor Anda di atasnya, sehingga mendapatkan akses instan ke kode 2FA Anda. Pertimbangkan untuk mengalihkan akun Twitter Anda ke sistem 2FA yang tidak bergantung pada nomor telepon Anda, seperti menggunakan aplikasi pengautentikasi.
- Pertimbangkan untuk membuang 2FA berbasis telepon sama sekali. Pelanggaran seperti ini – bahkan jika total sebenarnya jauh di bawah 400 juta pengguna – adalah pengingat yang baik bahwa bahkan jika Anda memiliki nomor telepon pribadi yang Anda gunakan untuk 2FA, sangat umum bagi penjahat dunia maya untuk dapat menghubungkan nomor telepon Anda ke nomor tertentu. akun online dilindungi oleh nomor itu.
- blockchain
- pelanggaran
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- kehilangan data
- Departemen Keamanan Dalam Negeri
- dompet digital
- pemerasan
- firewall
- Kaspersky
- malware
- mcafe
- Keamanan Telanjang
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- website security
- zephyrnet.dll
![S3 Ep92: Log4Shell4Ever, tip perjalanan, dan penipuan [Audio + Teks] PlatoBlockchain Data Intelligence. Pencarian Vertikal. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/ns-s3-ep92-1200-300x156.jpg "S3 Ep92: Log4Shell4Ever, tips perjalanan, dan penipuan [Audio + Teks]")
![S3 Ep112: Pelanggaran data dapat menghantui Anda lebih dari sekali! [Audio + Teks] Kecerdasan Data PlatoBlockchain. Pencarian Vertikal. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/goner-1-360x198.png "S3 Ep112: Pelanggaran data dapat menghantui Anda lebih dari satu kali! [Audio + Teks]")