かかとの上で熱い LastPass のデータ漏洩事件2022 年 XNUMX 月に初めて明るみに出た .
スクリーンショットによると 掲示 ニュース サイト Bleeping Computer によると、あるサイバー犯罪者が次のように宣伝しています。
脆弱性を介してスクレイピングされた 400 億以上のユニーク Twitter ユーザーのデータを販売しています。このデータは完全に非公開です。
また、有名人、政治家、企業、一般ユーザー、および多くの OG や特別なユーザー名の電子メールと電話番号が含まれています。
OG は、ソーシャル メディア アカウントのコンテキストでその用語に慣れていない場合に備えて、略して オリジナルギャングスタ.,
これは、ソーシャル メディア アカウントやオンライン ID のメタファーです (やや攻撃的ですが、主流になりました)。そのような短くファンキーな名前のソーシャル メディア アカウントまたはオンライン ID は、関連するサービスが真新しいときにすぐにスナップされたに違いありません。と ホイポロイ 参加するためにまだ群がっていませんでした。
ビットコイン ブロック 0 の秘密鍵、いわゆる ジェネシスブロック (マイニングではなく作成されたため)、おそらくサイバーランドで最もOGなものになるでしょう。 などの Twitter ハンドルを所有している @jack または短い有名な名前やフレーズは、それほどクールではありませんが、確かに人気があり、潜在的に非常に価値があります.
売り物は何ですか?
LastPass の侵害とは異なり、今回はパスワード関連のデータ、使用している Web サイトのリスト、または自宅の住所が危険にさらされているようです。
このデータ売却の背後にいる詐欺師は、情報が 「メールアドレスと電話番号を含む」、2021 年に 脆弱性 その Twitter は、2022 年 XNUMX 月に修正されたと言っています。
その欠陥は、Twitter API (アプリケーションプログラミングインターフェース、「特定のデータにアクセスしたり、特定のコマンドを実行するためのリモートクエリを作成する公式の構造化された方法」の専門用語) を使用すると、電子メールアドレスまたは電話番号を検索し、それが送信されたかどうかを示すだけでなく、返信を返すことができます。使用されている場合は、それに関連付けられているアカウントのハンドル。
このような失敗のすぐに明らかなリスクは、誰かの電話番号や電子メール アドレス (意図的に公開されることが多いデータ ポイント) で武装したストーカーが、その個人を疑似匿名の Twitter ハンドルにリンクする可能性があることです。絶対にありえないはずだった。
この抜け穴は 2022 年 2022 月にパッチが適用されましたが、Twitter は XNUMX 年 XNUMX 月に初めてそれを公表し、最初のバグ レポートはバグ報奨金システムを通じて提出された責任ある開示であると主張しました。
これは、(それを提出した賞金稼ぎが実際に最初に発見したものであり、他の誰にも言わなかったと仮定すると) それがゼロデイとして扱われなかったことを意味し、したがって、パッチを適用することで、脆弱性をプロアクティブに防ぐことができます。搾取されています。
しかし、2022 年半ばに、Twitter 見つけた さもないと:
2022 年 XNUMX 月、[Twitter] は報道を通じて、誰かがこれを利用した可能性があり、編集した情報を販売することを申し出ていたことを知りました。 販売可能なデータのサンプルを確認した結果、問題が解決される前に悪意のある人物が問題を利用していたことが確認されました。
広く悪用されるバグ
実際、現在のデータ行商の詐欺師が 400 億を超えるスクレイピングされた Twitter ハンドルにアクセスできることについて真実を語っているとすれば、このバグは最初に現れたよりも広く悪用された可能性があるように見えます。
ご想像のとおり、犯罪者が嫌がらせやストーカー行為などの悪意のある目的で特定の個人の既知の電話番号を検索できる脆弱性により、攻撃者は、おそらく単純に大規模で可能性の高いリストを生成することにより、未知の電話番号を検索できる可能性があります。それらの番号が実際に発行されたかどうかにかかわらず、使用されていることがわかっている番号範囲に基づいています。
おそらく、ここで使用されたとされるような API には、何らかの種類の レート制限たとえば、一定期間内に XNUMX 台のコンピューターから許可されるクエリの数を減らすことを目的としており、API の合理的な使用が妨げられることはありませんが、過剰な、したがっておそらく乱用される使用は削減されます。
ただし、その仮定には XNUMX つの問題があります。
第 XNUMX に、API は最初に行った情報を公開することは想定されていませんでした。
したがって、レート制限があったとしても、適切にチェックされていないデータ アクセス パスが攻撃者によって既に発見されていることを考えると、レート制限が正しく機能しなかったと考えるのが妥当です。
次に、ボットネットにアクセスできる攻撃者、または ゾンビネットワーク、マルウェアに感染したコンピューターのうち、世界中に散らばっている無害に見える何千、何百万もの他の人々のコンピューターを使用して、汚い仕事をしていた可能性があります。
これにより、バッチでデータを収集する手段が得られるため、少数のコンピューターがそれぞれ過剰な数の要求を行うのではなく、多数の異なるコンピューターからそれぞれ適度な数の要求を行うことで、レート制限を回避できます。
詐欺師は何を手に入れましたか?
要約すると、「+400 億」の Twitter ハンドルのうち、どれだけが処理されているかはわかりません。
- 本格的に使用中。 リストには閉鎖されたアカウントがたくさんあると推測できます。おそらく、存在すらしていなかったにもかかわらず、サイバー犯罪者の違法な調査に誤って含まれていたアカウントもあるでしょう。 (データベースへの許可されていないパスを使用している場合、結果がどれほど正確になるか、またはルックアップが失敗したことをどれだけ確実に検出できるかについては、まったく確信が持てません。)
- メールや電話番号でまだ公開されていません。 一部の Twitter ユーザー、特にサービスやビジネスを宣伝しているユーザーは、他のユーザーが自分のメール アドレス、電話番号、Twitter ハンドルを関連付けることを喜んで許可しています。
- 非アクティブなアカウント。 これは、これらの Twitter ハンドルを電子メールや電話番号と関連付けるリスクを排除するものではありませんが、リストには、他のサイバー犯罪者にとってあまり価値のない、またはまったく価値のないアカウントが多数含まれる可能性があります。一種の標的型フィッシング詐欺。
- 他のソースからすでに侵害されています。 サービス X に最近侵害や脆弱性が発生していない場合でも、「X から盗まれた」データの膨大なリストがダーク Web で売りに出されているのを定期的に目にします。
それにもかかわらず、英国のガーディアン紙は レポート 詐欺師によって一種の「味見」としてすでにリークされたデータのサンプルは、販売されている数百万レコードのデータベースの少なくとも一部が有効なデータで構成されており、以前にリークされたことがないことを強く示唆しています。公開されるべきではなく、ほぼ間違いなく Twitter から抽出されたものです。
簡単に言えば、Twitter には説明すべきことがたくさんあり、世界中の Twitter ユーザーは、「これはどういう意味で、どうすればよいのですか?」と尋ねている可能性があります。
それは何の価値がありますか?
どうやら、詐欺師自身は、盗んだデータベースのエントリに個人的な価値はほとんどないと評価しているようです。これは、この方法でデータが漏洩する個人的なリスクが非常に高いとは考えていないことを示唆しています。
どうやら彼らは、200,000 人の購入者への 1 回限りの販売で、ロットに 20 ドルを要求しているようです。これは、ユーザー XNUMX 人あたり XNUMX 分の XNUMX セントになります。
または、誰も「独占」価格を支払わない場合、60,000 人または複数の購入者 (7000 ドルあたり XNUMX アカウント近く) から XNUMX ドルを受け取ります。
皮肉なことに、詐欺師の主な目的は、Twitter を脅迫すること、または少なくとも会社を困らせることであると思われ、次のように主張しています。
Twitter とイーロン マスク…GDPR 違反の罰金で 276 億 XNUMX 万ドルを支払うのを避ける最善の選択肢は…このデータを独占的に購入することです。
しかし、侵害が発表され、公表されたことを考えると、猫が袋から出された今、この時点で支払うことで Twitter GDPR に準拠する方法を想像するのは困難です.
結局のところ、詐欺師は明らかにこのデータを以前から入手しており、XNUMX つまたは複数のサード パーティから取得した可能性があり、侵害が実際に大規模に行われたことを「証明」するためにあらゆる手段を講じています。主張した。
実際、私たちが見たメッセージのスクリーンショットには、Twitter が支払った場合にデータを削除することについては言及されていませんでした (とにかく詐欺師がデータを削除することを信頼できるからです)。
ポスターは単にそれを約束した 「私はこのスレッドを [ウェブ フォーラムで] 削除し、このデータを二度と販売しません。」
何をするか?
侵害されたデータが明らかに XNUMX 年以上前に盗まれたことを考えると、ほとんど意味がないため、Twitter は支払いをするつもりはありません。
したがって、当面のアドバイスは次のとおりです。
- 以前は詐欺の可能性が高いとは考えていなかった可能性のある電子メールに注意してください。 Twitter ハンドルとメール アドレスのリンクが広く知られておらず、そのため、あなたの Twitter 名を正確に特定するメールが信頼できないソースから送信された可能性が低いと思っている場合は、もうやめてください。
- Twitterで2FAに電話番号を使用している場合、SIMスワップの対象になる可能性があることに注意してください。 これは、あなたの Twitter パスワードをすでに知っている詐欺師が、 新しいSIMカードが発行されました 番号が記載されているため、2FA コードにすぐにアクセスできます。 代わりに認証アプリを使用するなど、電話番号に依存しない 2FA システムに Twitter アカウントを切り替えることを検討してください。
- 電話ベースの 2FA を完全に捨てることを検討してください。 このような違反は、実際の合計ユーザー数が 400 億人をはるかに下回っていたとしても、2FA に使用するプライベートな電話番号を持っていても、サイバー詐欺師があなたの電話番号を特定の電話番号に接続できることは驚くほど一般的であることを思い出させてくれます。その番号で保護されているオンライン アカウント。
