Twitter-gegevens van "+400 miljoen unieke gebruikers" te koop - wat te doen?

Heet op de hielen van de LastPass-sage over datalekken, dat voor het eerst aan het licht kwam in augustus 2022, komt nieuws over een Twitter-inbreuk, blijkbaar gebaseerd op een Twitter-bug die in dezelfde maand voor het eerst de krantenkoppen haalde.

Volgens een screenshot geplaatst door nieuwssite Bleeping Computer heeft een cybercrimineel geadverteerd:

Ik verkoop gegevens van +400 miljoen unieke Twitter-gebruikers die via een kwetsbaarheid zijn geschraapt, deze gegevens zijn volledig privé.

En het bevat e-mails en telefoonnummers van beroemdheden, politici, bedrijven, normale gebruikers en veel OG en speciale gebruikersnamen.

OG, voor het geval je niet bekend bent met die term in de context van sociale media-accounts, is een afkorting van originele gangster.,

Dat is een metafoor (het is mainstream geworden, ondanks dat het enigszins aanstootgevend is) voor elk social media-account of online identificatiemiddel met zo'n korte en funky naam dat het al vroeg moet zijn opgepikt, toen de service waarop het betrekking had gloednieuw was en hoi polloi was nog niet toegestroomd om mee te doen.

Het hebben van de privésleutel voor Bitcoin blok 0, de zogenaamde Genesis blok (omdat het is gemaakt, niet gedolven), zou misschien wel het meest OG-ding in cyberland zijn; het bezit van een Twitter-account zoals @jack of een korte, bekende naam of zin, is niet zo cool, maar zeker gewild en potentieel behoorlijk waardevol.

Wat is er te koop?

In tegenstelling tot de LastPass-inbreuk lijken deze keer geen wachtwoordgerelateerde gegevens, lijsten met websites die u gebruikt of thuisadressen in gevaar te zijn.

Hoewel de boeven achter deze uitverkoop van gegevens schreven dat de informatie "inclusief e-mails en telefoonnummers", lijkt het waarschijnlijk dat dit de enige echt privégegevens in de dump zijn, aangezien deze in 2021 lijken te zijn verkregen met behulp van een kwetsbaarheid dat Twitter zegt dat het in januari 2022 is opgelost.

Die fout werd veroorzaakt door een Twitter API (applicatie-programmeerinterface, jargon voor "een officiële, gestructureerde manier om op afstand query's uit te voeren om toegang te krijgen tot specifieke gegevens of specifieke opdrachten uit te voeren") waarmee u een e-mailadres of telefoonnummer kunt opzoeken en een antwoord terugkrijgt dat niet alleen aangeeft of het in gebruik is, maar ook, als dat zo was, de handle van het account dat eraan gekoppeld is.

Het onmiddellijk voor de hand liggende risico van een blunder als deze is dat een stalker, gewapend met iemands telefoonnummer of e-mailadres – gegevenspunten die vaak met opzet openbaar worden gemaakt – die persoon mogelijk zou kunnen koppelen aan een pseudo-anonieme Twitter-handle, een resultaat dat mocht absoluut niet.

Hoewel deze maas in de wet in januari 2022 werd gepatcht, kondigde Twitter het pas publiekelijk aan in augustus 2022, waarbij werd beweerd dat het eerste bugrapport een verantwoorde openbaarmaking was die was ingediend via zijn bug bounty-systeem.

Dit betekent (ervan uitgaande dat de premiejagers die het hebben ingediend inderdaad de eersten waren die het hebben gevonden en dat ze het nooit aan iemand anders hebben verteld) dat het niet als een zero-day werd behandeld, en dus dat het patchen ervan proactief zou voorkomen dat de kwetsbaarheid wordt uitgebuit.

Medio 2022 echter Twitter kwam erachter anders:

In juli 2022 hoorde [Twitter] via een persbericht dat iemand hier mogelijk gebruik van had gemaakt en aanbood de informatie die ze hadden verzameld te verkopen. Na een steekproef van de beschikbare gegevens voor verkoop te hebben bekeken, hebben we bevestigd dat een kwaadwillende misbruik heeft gemaakt van het probleem voordat het werd verholpen.

Een breed uitgebuite bug

Welnu, het ziet er nu naar uit dat deze bug breder is uitgebuit dan het eerst leek, als inderdaad de huidige oplichters met gegevens de waarheid vertellen dat ze toegang hebben tot meer dan 400 miljoen geschraapte Twitter-handvatten.

Zoals u zich kunt voorstellen, zal een kwetsbaarheid waarmee criminelen de bekende telefoonnummers van specifieke personen kunnen opzoeken voor snode doeleinden, zoals intimidatie of stalking, aanvallers waarschijnlijk ook in staat stellen onbekende telefoonnummers op te zoeken, misschien door simpelweg uitgebreide maar waarschijnlijke lijsten te genereren op basis van nummerreeksen waarvan bekend is dat ze in gebruik zijn, ongeacht of die nummers ooit daadwerkelijk zijn uitgegeven of niet.

Je zou waarschijnlijk verwachten dat een API, zoals degene die hier naar verluidt is gebruikt, een soort van bevat snelheidsbeperking, bijvoorbeeld gericht op het verminderen van het aantal toegestane zoekopdrachten vanaf één computer in een bepaalde periode, zodat redelijk gebruik van de API niet wordt belemmerd, maar buitensporig en daarom waarschijnlijk misbruik wordt beperkt.

Er zijn echter twee problemen met die aanname.

Ten eerste was het niet de bedoeling dat de API de informatie zou onthullen die hij in de eerste plaats deed.

Daarom is het redelijk om aan te nemen dat snelheidsbeperking, als die er al was, niet correct zou hebben gewerkt, aangezien de aanvallers al een gegevenstoegangspad hadden gevonden dat toch niet goed werd gecontroleerd.

Ten tweede, aanvallers met toegang tot een botnet, of zombie netwerk, van met malware geïnfecteerde computers hadden duizenden, misschien zelfs miljoenen, onschuldig ogende computers van andere mensen, verspreid over de hele wereld, kunnen gebruiken om hun vuile werk te doen.

Dit zou hen de middelen geven om de gegevens in batches te verzamelen, waardoor elke snelheidsbeperking wordt omzeild door een bescheiden aantal verzoeken in te dienen, elk vanaf een groot aantal verschillende computers, in plaats van een klein aantal computers die elk een buitensporig aantal verzoeken doen.

Wat hebben de boeven in handen gekregen?

Samengevat: we weten niet hoeveel van die “+400 miljoen” Twitter-handles zijn:

• Echt in gebruik. We kunnen ervan uitgaan dat er genoeg accounts met gesloten deuren in de lijst staan, en misschien accounts die nooit hebben bestaan, maar ten onrechte zijn opgenomen in het onwettige onderzoek van de cybercriminelen. (Als u een ongeoorloofd pad naar een database gebruikt, kunt u er nooit helemaal zeker van zijn hoe nauwkeurig uw resultaten zullen zijn, of hoe betrouwbaar u kunt detecteren dat een zoekopdracht is mislukt.)
• Nog niet publiekelijk verbonden met e-mails en telefoonnummers. Sommige Twitter-gebruikers, met name degenen die hun diensten of hun bedrijf promoten, staan ​​graag toe dat andere mensen hun e-mailadres, telefoonnummer en Twitter-account koppelen.
• Inactieve accounts. Dat neemt niet het risico weg dat die Twitter-handvatten worden gekoppeld aan e-mails en telefoonnummers, maar er zijn waarschijnlijk een aantal accounts in de lijst die voor andere cybercriminelen niet of nauwelijks van waarde zullen zijn. soort gerichte phishing-zwendel.
• Al gecompromitteerd via andere bronnen. We zien regelmatig enorme lijsten met gegevens "gestolen van X" die te koop worden aangeboden op het dark web, zelfs wanneer service X geen recente inbreuk of kwetsbaarheid heeft gehad, omdat die gegevens eerder ergens anders waren gestolen.

Desalniettemin, de krant Guardian in de UK meldt dat een steekproef van de gegevens, al gelekt door de boeven als een soort "voorproefje", sterk suggereert dat ten minste een deel van de database met meerdere miljoenen records die te koop is, uit geldige gegevens bestaat, nog niet eerder is gelekt, was 't hoort niet openbaar te zijn, en is vrijwel zeker van Twitter gehaald.

Simpel gezegd, Twitter heeft genoeg uit te leggen, en Twitter-gebruikers overal zullen waarschijnlijk vragen: "Wat betekent dit en wat moet ik doen?"

Wat is het waard?

Blijkbaar hebben de boeven zelf de ingangen in hun gestolen database beoordeeld als van weinig individuele waarde, wat suggereert dat ze het persoonlijke risico van het op deze manier laten lekken van uw gegevens niet erg hoog vinden.

Ze vragen blijkbaar $ 200,000 voor het perceel voor een eenmalige verkoop aan een enkele koper, wat uitkomt op 1/20e van een Amerikaanse cent per gebruiker.

Of ze nemen $ 60,000 van een of meer kopers (bijna 7000 rekeningen per dollar) als niemand de "exclusieve" prijs betaalt.

Ironisch genoeg lijkt het belangrijkste doel van de boeven te zijn om Twitter te chanteren, of op zijn minst het bedrijf in verlegenheid te brengen, door te beweren dat:

Twitter en Elon Musk... uw beste optie om te voorkomen dat u $ 276 miljoen USD aan boetes voor inbreuk op de AVG moet betalen... is om deze gegevens exclusief te kopen.

Maar nu de kat uit de zak is, gezien het feit dat de inbreuk toch is aangekondigd en gepubliceerd, is het moeilijk voor te stellen hoe Twitter op dit moment zou betalen om aan de AVG te voldoen.

De oplichters hebben deze gegevens immers blijkbaar al enige tijd in hun bezit, hebben ze misschien toch van een of meer derde partijen verkregen en hebben al hun best gedaan om te "bewijzen" dat de inbreuk echt is, en op grote schaal beweerde.

In het screenshot van het bericht dat we zagen, werd inderdaad niet eens melding gemaakt van het verwijderen van de gegevens als Twitter zou betalen (aangezien je erop kon vertrouwen dat de boeven het toch zouden verwijderen).

De poster beloofde alleen dat "Ik zal deze thread [op het webforum] verwijderen en deze gegevens niet meer verkopen."

Wat te doen?

Twitter zal niet betalen, niet in de laatste plaats omdat het weinig zin heeft, gezien het feit dat alle geschonden gegevens een jaar of langer geleden zijn gestolen, dus het zou nu in handen kunnen zijn (en waarschijnlijk zijn) van talloze verschillende cyberoplichters.

Ons onmiddellijke advies is dus:

• Wees je bewust van e-mails waarvan je eerder niet dacht dat ze oplichting waren. Als u de indruk had dat de link tussen uw Twitter-handle en uw e-mailadres niet algemeen bekend was, en dat daarom e-mails die uw Twitter-naam exact identificeerden waarschijnlijk niet afkomstig waren van onbetrouwbare bronnen... doe dat dan niet meer!
• Als je je telefoonnummer gebruikt voor 2FA op Twitter, houd er dan rekening mee dat je het doelwit kunt zijn van sim-swapping. Dat is waar een oplichter die je Twitter-wachtwoord al kent, een nieuwe simkaart uitgegeven met uw nummer erop, waardoor u direct toegang krijgt tot uw 2FA-codes. Overweeg om uw Twitter-account om te zetten naar een 2FA-systeem dat niet afhankelijk is van uw telefoonnummer, zoals het gebruik van een authenticatie-app.
• Overweeg om telefoongebaseerde 2FA helemaal af te schaffen. Dit soort inbreuken – zelfs als het werkelijke totaal ver onder de 400 miljoen gebruikers ligt – is een goede herinnering dat zelfs als je een privételefoonnummer hebt dat je gebruikt voor 2FA, het verrassend vaak voorkomt dat cybercriminelen je telefoonnummer kunnen koppelen aan specifieke online accounts die door dat nummer worden beschermd.

---