חם על העקבים של סאגת הפרת הנתונים של LastPass, שהתגלה לראשונה באוגוסט 2022, מגיעה ידיעה על הפרת טוויטר, ככל הנראה מבוססת על באג בטוויטר שעלה לראשונה לכותרות באותו חודש.
לפי צילום מסך פורסם מאת אתר החדשות Bleeping Computer, פושע רשת פרסם:
אני מוכר נתונים של +400 מיליון משתמשי טוויטר ייחודיים שנגרדו דרך נקודת תורפה, הנתונים האלה פרטיים לחלוטין.
והוא כולל מיילים ומספרי טלפון של ידוענים, פוליטיקאים, חברות, משתמשים רגילים, והרבה OG ושמות משתמש מיוחדים.
OG, למקרה שאינך מכיר את המונח הזה בהקשר של חשבונות מדיה חברתית, הוא קיצור של גנגסטה מקורית.,
זו מטאפורה (זה הפך למיינסטרים, למרות כל מה שזה קצת פוגעני) לכל חשבון מדיה חברתית או מזהה מקוון עם שם כל כך קצר ופופולרי, עד שבטח נקלטו מוקדם, עוד כשהשירות שהוא מתייחס אליו היה חדש לגמרי. ו הוי פולוי עדיין לא נהרו להצטרף.
בעל המפתח הפרטי לבלוק ביטקוין 0, מה שנקרא גוש בראשית (בגלל שהוא נוצר, לא נכרה), יהיה אולי הדבר הכי OG בארץ הסייבר; בעלות על ידית טוויטר כגון @jack או כל שם או ביטוי קצר וידוע, הוא לא ממש מגניב, אבל בהחלט מבוקש ויכול להיות בעל ערך רב.
מה עומד למכירה?
בניגוד להפרת LastPass, אין נתונים הקשורים לסיסמה, רשימות של אתרים שאתה משתמש בהן או כתובות בית נראה בסיכון הפעם.
למרות שהנוכלים מאחורי מכירת הנתונים האלה כתבו שהמידע "כולל מיילים ומספרי טלפון", נראה כי הם הנתונים הפרטיים באמת היחידים במזבלה, בהתחשב בכך שנראה שהם נרכשו עוד בשנת 2021, באמצעות פגיעות שטוויטר אומר שזה תוקן בינואר 2022.
הפגם הזה נגרם על ידי API של Twitter (ממשק תכנות יישומים, ז'רגון עבור "דרך רשמית ומובנית לבצע שאילתות מרחוק כדי לגשת לנתונים ספציפיים או לבצע פקודות ספציפיות") שתאפשר לך לחפש כתובת אימייל או מספר טלפון, ולקבל בחזרה תשובה שלא רק ציינה אם זה בשימוש, אבל גם, אם כן, את הטיפול בחשבון המשויך אליו.
הסיכון המובן מאליו של טעות כמו זו הוא שעוקב, חמוש במספר טלפון או כתובת דוא"ל של מישהו - נקודות מידע שמתפרסמות לעתים קרובות בכוונה ציבורית - עלול לקשר את הפרט הזה בחזרה לידית טוויטר פסאודו-אנונימית, תוצאה ש בהחלט לא היה אמור להיות אפשרי.
למרות שהפרצה הזו תוקנה בינואר 2022, טוויטר הכריזה עליה בפומבי רק באוגוסט 2022, בטענה שדוח הבאג הראשוני הוא חשיפה אחראית שהוגשה דרך מערכת הבאונטי שלה.
זה אומר (בהנחה שציידי הראשים שהגישו אותו אכן היו הראשונים שמצאו אותו, ושהם מעולם לא סיפרו לאף אחד אחר) שלא התייחסו אליו כאל יום אפס, ולכן תיקון זה ימנע באופן יזום את הפגיעות מנוצלים.
באמצע 2022, לעומת זאת, טוויטר לגלות אחרת:
ביולי 2022, [טוויטר] נודע באמצעות דיווח לעיתונות שמישהו מינף זאת בפוטנציה והציע למכור את המידע שאסף. לאחר שבדקנו מדגם מהנתונים הזמינים למכירה, אישרנו ששחקן גרוע ניצל את הבעיה לפני שהיא טופלה.
באג מנוצל באופן נרחב
ובכן, כעת נראה כאילו הבאג הזה נוצל בצורה רחבה יותר מכפי שנראה לראשונה, אם אכן הנוכלים הנוכחיים שרוכלי הנתונים אומרים את האמת על גישה ליותר מ-400 מיליון ידיות טוויטר מגורדות.
כפי שאתה יכול לדמיין, פגיעות המאפשרת לפושעים לחפש את מספרי הטלפון הידועים של אנשים ספציפיים למטרות מרושעות, כגון הטרדה או מעקב, עשויה גם לאפשר לתוקפים לחפש מספרי טלפון לא ידועים, אולי פשוט על ידי יצירת רשימות נרחבות אך סבירות מבוסס על טווחי מספרים שידוע שהם בשימוש, בין אם מספרים אלה הונפקו אי פעם או לא.
סביר להניח שהיית מצפה מ-API כמו זה שלכאורה היה בשימוש כאן יכלול איזשהו גבול דירוג, למשל שמטרתה לצמצם את מספר השאילתות המותרות ממחשב אחד בכל פרק זמן נתון, כך ששימוש סביר ב-API לא יפריע, אלא יצומצם שימוש מופרז ולכן כנראה פוגעני.
עם זאת, יש שתי בעיות בהנחה זו.
ראשית, ה-API לא היה אמור לחשוף את המידע שהוא עשה מלכתחילה.
לכן סביר לחשוב שהגבלת קצב, אם אכן הייתה כזו, לא הייתה פועלת כהלכה, בהתחשב שהתוקפים כבר מצאו נתיב גישה לנתונים שממילא לא נבדק כראוי.
שנית, תוקפים עם גישה ל-botnet, או רשת זומבים, של מחשבים נגועים בתוכנה זדונית יכלו להשתמש באלפי, אולי אפילו במיליוני, מחשבים תמימים למראה של אנשים אחרים, הפזורים בכל רחבי העולם, כדי לעשות את העבודה המלוכלכת שלהם.
זה ייתן להם את האמצעים לקצור את הנתונים באצוות, ובכך לעקוף כל הגבלת קצב על ידי הגשת מספר צנוע של בקשות כל אחת מהמון מחשבים שונים, במקום שמספר קטן של מחשבים כל אחד יבצע מספר מוגזם של בקשות.
במה תפסו הנוכלים?
לסיכום: אנחנו לא יודעים כמה מאותן "+400 מיליון" נקודות גישה של טוויטר הן:
- בשימוש אמיתי. אנחנו יכולים להניח שיש הרבה חשבונות סגורים ברשימה, ואולי חשבונות שאפילו לא היו קיימים, אבל נכללו בטעות בסקר הבלתי חוקי של פושעי הסייבר. (כאשר אתה משתמש בנתיב לא מורשה לתוך מסד נתונים, אתה אף פעם לא יכול להיות בטוח עד כמה התוצאות שלך יהיו מדויקות, או באיזו אמין אתה יכול לזהות שחיפוש נכשל.)
- לא מחובר כבר בפומבי עם מיילים ומספרי טלפון. חלק ממשתמשי טוויטר, בעיקר אלה המקדמים את השירותים שלהם או את העסק שלהם, מאפשרים ברצון לאנשים אחרים לחבר את כתובת הדוא"ל, מספר הטלפון והטוויטר שלהם.
- חשבונות לא פעילים. זה לא מבטל את הסיכון של חיבור הטוויטר לאותם ידיות עם מיילים ומספרי טלפון, אבל סביר להניח שיהיו חבורה של חשבונות ברשימה שלא יהיו בעלי ערך רב, או אפילו בכלל, עבור פושעי סייבר אחרים עבור כל סוג של תרמית דיוג ממוקדת.
- כבר נפרץ דרך מקורות אחרים. אנו רואים באופן קבוע רשימות ענק של נתונים "נגנבים מ-X" למכירה ברשת האפלה, גם כאשר לשירות X לא הייתה פרצה או פגיעות לאחרונה, מכיוון שהנתונים הללו נגנבו קודם לכן ממקום אחר.
עם זאת, העיתון "גרדיאן" בבריטניה דיווחים שדגימה מהנתונים, שכבר הודלפו על ידי הנוכלים כמעין "טועמים", אכן מרמזת על כך שלפחות חלק ממסד הנתונים של מיליונים רבים במכירה מורכב מנתונים תקפים, שלא הודלף בעבר, לא אמור להיות ציבורי, וכמעט בוודאות הוצא מטוויטר.
במילים פשוטות, לטוויטר יש הרבה הסברים לעשות, וסביר להניח שמשתמשי טוויטר בכל מקום ישאלו, "מה זה אומר ומה עלי לעשות?"
מה זה שווה?
ככל הנראה, נראה שהנוכלים עצמם העריכו את הערכים במסד הנתונים הנטולי שלהם כבעלי ערך אינדיבידואלי מועט, מה שמרמז שהם לא רואים את הסיכון האישי של דליפת הנתונים שלך בדרך זו כבעל ערך נוראי.
הם ככל הנראה מבקשים 200,000 דולר עבור המגרש למכירה חד פעמית לקונה בודד, אשר מגיעה ב-1/20 סנט אמריקאי לכל משתמש.
או שהם ייקחו 60,000 $ מקונה אחד או יותר (קרוב ל-7000 חשבונות לדולר) אם אף אחד לא ישלם את המחיר ה"בלעדי".
למרבה האירוניה, נראה שהמטרה העיקרית של הנוכלים היא לסחוט את טוויטר, או לפחות להביך את החברה, בטענה ש:
טוויטר ואילון מאסק... האפשרות הטובה ביותר שלכם להימנע מתשלום של 276 מיליון דולר בקנסות על הפרת GDPR... היא לקנות את הנתונים הללו באופן בלעדי.
אבל עכשיו, כשהחתול יצא מהשק, בהתחשב בכך שהפרה הוכרזה ופורסמה בכל מקרה, קשה לדמיין איך התשלום בשלב זה יהפוך את טוויטר לעמידה ב-GDPR.
אחרי הכל, כנראה שלנוכלים יש את הנתונים האלה כבר זמן מה, אולי בכל מקרה רכשו אותם מצד שלישי אחד או יותר, וכבר יצאו מגדרם כדי "להוכיח" שהפרה אמיתית, ובקנה מידה. נִתבָּע.
ואכן, צילום המסך של ההודעה שראינו אפילו לא הזכיר את מחיקת הנתונים אם טוויטר היה משלם (מכיוון שאפשר לסמוך על הנוכלים שימחקו אותם בכל מקרה).
הכרזה הבטיחה רק את זה "אני אמחק את השרשור הזה [בפורום האינטרנט] ולא אמכור את הנתונים האלה שוב."
מה לעשות?
טוויטר לא מתכוון לשלם, לא מעט בגלל שאין טעם, בהתחשב בכך שכל מידע שנפרץ נגנב כנראה לפני שנה או יותר, אז זה יכול להיות (וכנראה נמצא) בידיים של מספר רב של נוכלי סייבר שונים עד עכשיו.
אז העצה המיידית שלנו היא:
- היו מודעים להודעות דוא"ל שאולי לא חשבתם בעבר שהן עשויות להיות הונאות. אם התרשמת שהקישור בין ידית הטוויטר שלך לכתובת הדואר האלקטרוני שלך לא היה ידוע ברבים, ולכן סביר להניח שהודעות דוא"ל שזיהו בדיוק את השם שלך בטוויטר לא יגיעו ממקורות לא מהימנים... אל תעשה את זה יותר!
- אם אתה משתמש במספר הטלפון שלך עבור 2FA בטוויטר, שים לב שאתה יכול להיות יעד להחלפת SIM. זה המקום שבו נוכל שכבר יודע את סיסמת הטוויטר שלך מקבל א הונפק כרטיס SIM חדש עם המספר שלך עליו, ובכך לקבל גישה מיידית לקודי 2FA שלך. שקול להחליף את חשבון הטוויטר שלך למערכת 2FA שאינה תלויה במספר הטלפון שלך, כגון שימוש באפליקציית אימות במקום זאת.
- שקול לוותר על 2FA מבוסס טלפון לחלוטין. הפרות כמו זה - גם אם הסכום האמיתי הוא הרבה מתחת ל-400 מיליון משתמשים - הן תזכורת טובה שגם אם יש לך מספר טלפון פרטי שבו אתה משתמש עבור 2FA, זה נפוץ באופן מפתיע שנוכלי סייבר יוכלו לחבר את מספר הטלפון שלך למספר ספציפי חשבונות מקוונים המוגנים במספר זה.
