발 뒤꿈치에 뜨거운 LastPass 데이터 유출 사가2022년 XNUMX월에 처음 공개된 는 같은 달에 처음으로 헤드라인을 장식한 트위터 버그에 기반한 것으로 보이는 트위터 위반 소식을 전합니다.
스크린샷에 따르면 게시 뉴스 사이트 Bleeping Computer에 따르면 사이버 범죄자는 다음과 같이 광고했습니다.
저는 취약점을 통해 스크랩한 400억 명 이상의 고유 Twitter 사용자 데이터를 판매하고 있습니다. 이 데이터는 완전히 비공개입니다.
그리고 여기에는 유명 인사, 정치인, 회사, 일반 사용자의 이메일과 전화번호, 많은 OG 및 특수 사용자 이름이 포함됩니다.
OG는 소셜 미디어 계정과 관련하여 해당 용어에 익숙하지 않은 경우를 대비하여 약자입니다. 오리지널 갱스터.,
그것은 소셜 미디어 계정이나 온라인 식별자에 대한 은유(주류가 되었으며 다소 공격적임)는 관련 서비스가 완전히 새로운 초기에 스냅되었을 정도로 짧고 펑키한 이름을 가진 온라인 식별자에 대한 은유입니다. 그리고 호이 폴로이 아직 합류하기 위해 몰려들지 않았습니다.
Bitcoin 블록 0에 대한 개인 키를 갖는 소위 제네시스 블록 (채굴된 것이 아니라 생성되었기 때문에) 아마도 사이버 세계에서 가장 OG적인 것일 것입니다. 다음과 같은 Twitter 핸들 소유 @jack 또는 짧고 잘 알려진 이름이나 문구는 그다지 멋지지는 않지만 확실히 인기 있고 잠재적으로 매우 가치가 있습니다.
판매용 제품은 무엇입니까?
LastPass 위반과 달리 비밀번호 관련 데이터, 사용하는 웹사이트 목록 또는 집 주소가 이번에는 위험에 처한 것으로 보입니다.
이 데이터 매각 배후의 사기꾼은 정보가 "이메일 및 전화번호 포함", 2021년에 획득한 것으로 보인다는 점을 감안할 때 덤프에 있는 유일한 진정한 개인 데이터인 것 같습니다. 취약점 Twitter에서는 2022년 XNUMX월에 문제가 해결되었다고 합니다.
해당 결함은 Twitter API(응용 프로그래밍 인터페이스, "특정 데이터에 액세스하거나 특정 명령을 수행하기 위해 원격 쿼리를 수행하는 공식적이고 구조화된 방법"에 대한 전문 용어) 이메일 주소나 전화번호를 조회하고 응답 여부를 나타내는 응답을 받을 수 있습니다. 사용 중일 뿐만 아니라 관련된 계정의 핸들이기도 합니다.
이와 같은 실수의 즉각적인 명백한 위험은 누군가의 전화 번호나 이메일 주소(종종 의도적으로 공개되는 데이터 포인트)로 무장한 스토커가 잠재적으로 해당 개인을 익명의 가짜 트위터 핸들에 다시 연결할 수 있다는 것입니다. 확실히 가능하지 않을 것입니다.
이 허점은 2022년 2022월에 패치되었지만 Twitter는 XNUMX년 XNUMX월에야 이를 공개적으로 발표하면서 초기 버그 보고서가 버그 바운티 시스템을 통해 제출된 책임 있는 공개라고 주장했습니다.
이것은 (그것을 제출한 현상금 사냥꾼이 실제로 그것을 처음 발견했고 다른 누구에게도 말하지 않았다고 가정할 때) 제로데이로 취급되지 않았으며 따라서 이를 패치하면 취약점이 사전에 방지될 것입니다. 착취 당하고 있습니다.
그러나 2022년 중반 트위터는 찾아 냈다 그렇지 않으면:
2022년 XNUMX월, [Twitter]는 언론 보도를 통해 누군가가 잠재적으로 이를 악용했으며 수집한 정보를 판매하겠다고 제안하고 있음을 알게 되었습니다. 판매 가능한 데이터의 샘플을 검토한 후 악의적인 행위자가 문제가 해결되기 전에 문제를 악용했음을 확인했습니다.
광범위하게 악용되는 버그
글쎄요, 현재 데이터 행상 사기꾼들이 실제로 400억 개 이상의 스크랩된 Twitter 핸들에 액세스할 수 있다는 진실을 말하고 있다면 이 버그가 처음 나타난 것보다 더 광범위하게 악용되었을 수 있는 것처럼 보입니다.
상상할 수 있듯이 범죄자가 괴롭힘이나 스토킹과 같은 악의적인 목적으로 특정 개인의 알려진 전화번호를 조회할 수 있는 취약점은 공격자가 광범위하지만 가능성이 높은 목록을 생성하여 알 수 없는 전화번호를 조회할 수도 있습니다. 해당 번호가 실제로 발행되었는지 여부에 관계없이 사용 중인 것으로 알려진 번호 범위를 기반으로 합니다.
여기에서 사용된 것으로 추정되는 것과 같은 API에 일종의 속도 제한, 예를 들어 주어진 시간 동안 한 컴퓨터에서 허용되는 쿼리 수를 줄이는 것을 목표로 하여 API의 합리적인 사용이 방해받지 않고 과도하고 따라서 남용적인 사용이 줄어들 수 있습니다.
그러나 그 가정에는 두 가지 문제가 있다.
첫째, API는 처음에 수행한 정보를 공개하도록 되어 있지 않았습니다.
따라서 공격자가 어쨌든 적절하게 확인되지 않은 데이터 액세스 경로를 이미 찾았다면 속도 제한이 실제로 있었다면 제대로 작동하지 않았을 것이라고 생각하는 것이 합리적입니다.
둘째, 봇넷에 접근할 수 있는 공격자, 또는 좀비 네트워크, 맬웨어에 감염된 컴퓨터의 경우 전 세계에 퍼져 있는 무고해 보이는 다른 사람의 컴퓨터 수천 대, 아마도 수백만 대를 사용하여 더러운 작업을 수행할 수 있습니다.
이렇게 하면 데이터를 배치로 수집할 수 있는 수단이 제공되므로 적은 수의 컴퓨터가 각각 과도한 수의 요청을 하는 대신 여러 대의 컴퓨터에서 적당한 수의 요청을 함으로써 속도 제한을 피할 수 있습니다.
도둑들은 무엇을 잡았습니까?
요약하자면, "400억 이상" Twitter 핸들 중 몇 개가 다음인지 알 수 없습니다.
- 정품사용중입니다. 우리는 목록에 폐쇄된 계정이 많이 있고 존재조차 하지 않았지만 사이버 범죄자의 불법 설문 조사에 잘못 포함된 계정이 있다고 가정할 수 있습니다. (데이터베이스에 대한 무단 경로를 사용하는 경우 결과가 얼마나 정확한지 또는 조회 실패를 얼마나 안정적으로 감지할 수 있는지 확신할 수 없습니다.)
- 아직 이메일 및 전화번호와 공개적으로 연결되어 있지 않습니다. 일부 트위터 사용자, 특히 자신의 서비스나 비즈니스를 홍보하는 사용자는 다른 사람이 자신의 이메일 주소, 전화번호 및 트위터 핸들을 연결할 수 있도록 기꺼이 허용합니다.
- 비활성 계정. 그렇다고 해서 Twitter 핸들을 이메일 및 전화번호와 연결하는 위험을 제거할 수는 없지만 목록에는 다른 사이버 범죄자에게 별로 가치가 없거나 전혀 가치가 없는 계정이 있을 수 있습니다. 일종의 표적 피싱 사기.
- 이미 다른 소스를 통해 손상되었습니다. 우리는 서비스 X에 최근 위반이나 취약점이 없었음에도 불구하고 다크 웹에서 판매하기 위해 "X에서 훔친" 엄청난 양의 데이터 목록을 정기적으로 봅니다.
그럼에도 불구하고 영국의 가디언 신문은 보고서 사기꾼이 일종의 "맛보기"로 이미 유출한 데이터 샘플은 판매 중인 수백만 개의 레코드 데이터베이스 중 적어도 일부가 유효한 데이터로 구성되어 있고 이전에 유출된 적이 없으며 공개되지 않아야 하고 트위터에서 추출된 것이 거의 확실합니다.
간단히 말해서, Twitter에는 할 일이 많으며 모든 Twitter 사용자는 "이게 무슨 뜻이며 어떻게 해야 합니까?"라고 물을 가능성이 높습니다.
그것은 가치가 무엇입니까?
명백히, 사기꾼들은 훔친 데이터베이스의 항목이 개인적인 가치가 거의 없다고 평가한 것으로 보이며, 이는 그들이 귀하의 데이터가 이런 식으로 유출되는 개인적인 위험을 매우 높게 보지 않는다는 것을 암시합니다.
그들은 분명히 단일 구매자에게 일회성 판매를 위해 부지에 대해 $200,000를 요구하고 있으며 이는 사용자당 미화 센트의 1/20에 나옵니다.
또는 아무도 "독점" 가격을 지불하지 않으면 한 명 이상의 구매자(60,000달러당 약 7000개 계정)로부터 XNUMX달러를 가져갈 것입니다.
아이러니하게도 사기꾼의 주요 목적은 Twitter를 협박하거나 적어도 회사를 난처하게 만드는 것으로 보이며 다음과 같이 주장합니다.
Twitter 및 Elon Musk… GDPR 위반 벌금으로 미화 276억 XNUMX만 달러를 지불하지 않는 최선의 선택은… 이 데이터를 독점적으로 구매하는 것입니다.
그러나 이제 고양이가 가방에서 나왔으므로 어쨌든 위반이 발표되고 공개되었으므로 이 시점에서 지불하는 것이 트위터 GDPR을 준수하게 만드는 방법을 상상하기 어렵습니다.
결국, 사기꾼들은 분명히 이 데이터를 이미 얼마 동안 가지고 있었고, 어쨌든 하나 이상의 제XNUMX자로부터 데이터를 획득했을 수 있으며, 이미 위반이 실제이고 규모가 크다는 것을 "증명"하기 위해 나섰습니다. 주장했다.
사실, 우리가 본 메시지 스크린샷은 Twitter가 돈을 지불할 경우 데이터 삭제에 대해 언급조차 하지 않았습니다(어쨌든 사기꾼이 데이터를 삭제할 것이라고 믿을 수 있기 때문입니다).
포스터는 단지 "[웹 포럼에서] 이 스레드를 삭제하고 이 데이터를 다시 판매하지 않겠습니다."
무엇을해야 하는가?
유출된 데이터가 XNUMX년 이상 전에 도난당한 것으로 보이는 점을 감안할 때 의미가 거의 없기 때문에 Twitter는 돈을 지불하지 않을 것이므로 지금쯤이면 수많은 사이버 사기꾼의 손에 들어갈 수 있습니다.
따라서 즉각적인 조언은 다음과 같습니다.
- 이전에는 사기일 가능성이 있다고 생각하지 않았던 이메일에 주의하십시오. Twitter 핸들과 이메일 주소 사이의 링크가 널리 알려지지 않았기 때문에 귀하의 Twitter 이름을 정확히 식별하는 이메일이 신뢰할 수 없는 출처에서 온 것 같지 않다는 인상을 받았다면… 더 이상 그렇게 하지 마십시오!
- 트위터에서 전화번호를 2FA로 사용하는 경우 SIM 스와핑의 대상이 될 수 있으니 주의하세요. 트위터 비밀번호를 이미 알고 있는 사기꾼이 새로운 SIM 카드 발급 2FA 코드에 즉시 액세스할 수 있습니다. 대신 인증 앱을 사용하는 등 전화번호에 의존하지 않는 2FA 시스템으로 Twitter 계정을 전환하는 것을 고려하십시오.
- 전화 기반 2FA를 완전히 버리는 것을 고려하십시오. 이와 같은 침해는 실제 총 사용자 수가 400억 명 미만인 경우에도 2FA에 사용하는 개인 전화번호가 있더라도 사이버 사기꾼이 귀하의 전화번호를 특정 해당 번호로 보호되는 온라인 계정.
