Twitter-data fra «+400 millioner unike brukere» til salgs – hva skal jeg gjøre?

Varm på hælene på LastPass-sagaen om datainnbrudd, som først kom frem i august 2022, kommer nyheter om et Twitter-brudd, tilsynelatende basert på en Twitter-feil som først skapte overskrifter tilbake i samme måned.

I følge et skjermbilde postet av nyhetssiden Bleeping Computer har en nettkriminell annonsert:

Jeg selger data om +400 millioner unike Twitter-brukere som ble skrapet via en sårbarhet, disse dataene er helt private.

Og det inkluderer e-poster og telefonnumre til kjendiser, politikere, selskaper, vanlige brukere, og mange OG og spesielle brukernavn.

OG, i tilfelle du ikke er kjent med det begrepet i sammenheng med sosiale medier-kontoer, er en forkortelse for original gangsta.,

Det er en metafor (det har blitt mainstream, selv om det er litt støtende) for en hvilken som helst sosial mediekonto eller nettidentifikator med et så kort og funky navn at det må ha blitt snappet opp tidlig, da tjenesten den gjelder var helt ny og hoi polloi hadde ennå ikke strømmet til for å bli med.

Å ha den private nøkkelen for Bitcoin blokk 0, den såkalte Genesis-blokk (fordi den ble skapt, ikke utvunnet), ville kanskje vært den mest OG tingen i cyberland; å eie et Twitter-håndtak som f.eks @jack eller et kort, kjent navn eller frase, er ikke fullt så kult, men absolutt ettertraktet og potensielt ganske verdifullt.

Hva er til salgs?

I motsetning til LastPass-bruddet, ser ingen passordrelaterte data, lister over nettsteder du bruker eller hjemmeadresser ut til å være i fare denne gangen.

Selv om skurkene bak denne datasalget skrev at informasjonen "inkluderer e-poster og telefonnumre", virker det sannsynlig at det er de eneste virkelig private dataene i dumpen, gitt at det ser ut til å ha blitt anskaffet tilbake i 2021, ved hjelp av en sårbarhet at Twitter sier det løste tilbake i januar 2022.

Denne feilen var forårsaket av en Twitter API (Applikasjonsprogrammeringsgrensesnitt, sjargong for "en offisiell, strukturert måte å gjøre eksterne forespørsler for å få tilgang til spesifikke data eller utføre spesifikke kommandoer") som lar deg slå opp en e-postadresse eller telefonnummer, og for å få tilbake et svar som ikke bare indikerte om det var i bruk, men også, hvis det var, håndteringen av kontoen knyttet til den.

Den umiddelbart åpenbare risikoen for en tabbe som dette er at en stalker, bevæpnet med noens telefonnummer eller e-postadresse – datapunkter som ofte blir offentliggjort med vilje – potensielt kan knytte den personen tilbake til et pseudo-anonymt Twitter-håndtak, et resultat som skulle definitivt ikke være mulig.

Selv om dette smutthullet ble rettet i januar 2022, kunngjorde Twitter det først offentlig i august 2022, og hevdet at den første feilrapporten var en ansvarlig avsløring som ble sendt inn gjennom deres bug-bounty-system.

Dette betyr (forutsatt at dusørjegerne som sendte det inn faktisk var de første som fant det, og at de aldri fortalte det til noen andre) at det ikke ble behandlet som en null-dag, og dermed at det å lappe det proaktivt ville forhindre sårbarheten fra blir utnyttet.

I midten av 2022, derimot, Twitter fant ut ellers:

I juli 2022 fikk [Twitter] vite gjennom en pressemelding at noen potensielt hadde utnyttet dette og tilbød å selge informasjonen de hadde samlet. Etter å ha gjennomgått et utvalg av tilgjengelige data for salg, bekreftet vi at en dårlig aktør hadde utnyttet problemet før det ble løst.

En mye utnyttet feil

Vel, det ser nå ut som om denne feilen kan ha blitt utnyttet bredere enn den først så ut, hvis de nåværende datahandlerne faktisk forteller sannheten om å ha tilgang til mer enn 400 millioner skrapte Twitter-håndtak.

Som du kan forestille deg, vil en sårbarhet som lar kriminelle slå opp kjente telefonnumre til spesifikke individer for ondsinnede formål, for eksempel trakassering eller forfølgelse, sannsynligvis også tillate angripere å slå opp ukjente telefonnumre, kanskje ganske enkelt ved å generere omfattende, men sannsynlige lister basert på nummerområder som er kjent for å være i bruk, enten disse numrene noen gang faktisk har blitt utstedt eller ikke.

Du forventer sannsynligvis at en API som den som angivelig ble brukt her, inkluderer en slags ratebegrensende, for eksempel med sikte på å redusere antall forespørsler som er tillatt fra én datamaskin i en gitt tidsperiode, slik at rimelig bruk av API-en ikke vil bli hindret, men overdreven og derfor sannsynligvis misbruk vil bli begrenset.

Det er imidlertid to problemer med denne antakelsen.

For det første var ikke API-en ment å avsløre informasjonen den gjorde i utgangspunktet.

Derfor er det rimelig å tro at hastighetsbegrensning, hvis det faktisk var noen, ikke ville ha fungert riktig, gitt angriperne allerede hadde funnet en datatilgangsbane som uansett ikke ble sjekket ordentlig.

For det andre angripere med tilgang til et botnett, eller zombie nettverk, av malware-infiserte datamaskiner kunne ha brukt tusenvis, kanskje til og med millioner, av andres uskyldig utseende datamaskiner, spredt over hele verden, til å gjøre det skitne arbeidet sitt.

Dette ville gi dem midler til å høste dataene i partier, og dermed omgå enhver hastighetsbegrensning ved å gjøre et beskjedent antall forespørsler hver fra mange forskjellige datamaskiner, i stedet for å ha et lite antall datamaskiner som hver sender et for stort antall forespørsler.

Hva fikk skurkene tak i?

Oppsummert: vi vet ikke hvor mange av disse "+400 millioner" Twitter-håndtakene er:

• Virkelig i bruk. Vi kan anta at det er nok av lukkede kontoer på listen, og kanskje kontoer som aldri engang har eksistert, men som feilaktig ble inkludert i nettkriminelles ulovlige undersøkelse. (Når du bruker en uautorisert bane til en database, kan du aldri være helt sikker på hvor nøyaktige resultatene dine kommer til å være, eller hvor pålitelig du kan oppdage at et oppslag mislyktes.)
• Ikke allerede offentlig knyttet til e-poster og telefonnumre. Noen Twitter-brukere, spesielt de som markedsfører tjenestene deres eller virksomheten deres, lar villig andre personer koble til e-postadressen, telefonnummeret og Twitter-håndtaket.
• Inaktive kontoer. Det eliminerer ikke risikoen for å koble opp disse Twitter-håndtakene med e-poster og telefonnumre, men det vil sannsynligvis være en haug med kontoer på listen som ikke vil ha mye, eller til og med noen, verdi for andre nettkriminelle. en slags målrettet phishing-svindel.
• Allerede kompromittert via andre kilder. Vi ser jevnlig enorme lister over data «stjålet fra X» for salg på det mørke nettet, selv når tjeneste X ikke har hatt et nylig brudd eller sårbarhet, fordi disse dataene tidligere hadde blitt stjålet fra et annet sted.

Likevel, avisen Guardian i Storbritannia rapporter at et utvalg av dataene, allerede lekket av skurkene som en slags «smak», tyder sterkt på at i det minste en del av databasen med flere millioner poster på salg består av gyldige data, ikke har blitt lekket før, var ikke Det skulle ikke være offentlig, og ble nesten helt sikkert hentet fra Twitter.

Enkelt sagt, Twitter har mye å forklare, og Twitter-brukere overalt vil sannsynligvis spørre: "Hva betyr dette, og hva bør jeg gjøre?"

Hva er det verdt?

Tilsynelatende ser det ut til at skurkene selv har vurdert oppføringene i deres slyngede database til å ha liten individuell verdi, noe som tyder på at de ikke ser den personlige risikoen ved å få dataene dine lekket på denne måten som fryktelig høy.

De ber tilsynelatende $200,000 1 for partiet for et engangssalg til en enkelt kjøper, som kommer ut på 20/XNUMX av en amerikansk cent per bruker.

Eller de vil ta $60,000 7000 fra en eller flere kjøpere (nær XNUMX kontoer per dollar) hvis ingen betaler den "eksklusive" prisen.

Ironisk nok ser skurkenes hovedformål ut til å være å utpresse Twitter, eller i det minste å gjøre selskapet flau, og hevder at:

Twitter og Elon Musk ... det beste alternativet for å unngå å betale 276 millioner USD i bøter for brudd på GDPR ... er å kjøpe disse dataene eksklusivt.

Men nå som katten er ute av sekken, gitt at bruddet har blitt annonsert og publisert uansett, er det vanskelig å forestille seg hvordan å betale opp på dette tidspunktet ville gjøre Twitter GDPR-kompatibel.

Tross alt har skurkene tilsynelatende hatt disse dataene en stund allerede, kan godt ha skaffet dem fra en eller flere tredjeparter uansett, og har allerede gått ut av deres måte å "bevise" at bruddet er reelt, og på skalaen. hevdet.

Faktisk nevnte meldingsskjermbildet som vi så ikke engang sletting av dataene hvis Twitter skulle betale (for så vidt du kunne stole på at skurkene sletter dem uansett).

Plakaten lovet bare det "Jeg vil slette denne tråden [på nettforumet] og ikke selge disse dataene igjen."

Hva gjør jeg?

Twitter kommer ikke til å betale seg, ikke minst fordi det er liten vits, gitt at eventuelle brudd data tilsynelatende ble stjålet for et år eller mer siden, så det kan være (og sannsynligvis er) i hendene på en rekke forskjellige nettsvindlere nå.

Så vårt umiddelbare råd er:

• Vær oppmerksom på e-poster som du kanskje ikke tidligere har trodd kan være svindel. Hvis du var under inntrykk av at koblingen mellom Twitter-håndtaket og e-postadressen din ikke var allment kjent, og derfor at e-poster som nøyaktig identifiserte Twitter-navnet ditt sannsynligvis ikke kom fra upålitelige kilder ... ikke gjør det lenger!
• Hvis du bruker telefonnummeret ditt for 2FA på Twitter, vær oppmerksom på at du kan være et mål for SIM-bytte. Det er der en kjeltring som allerede kjenner Twitter-passordet ditt får en nytt SIM-kort utstedt med nummeret ditt på, og får dermed umiddelbar tilgang til 2FA-kodene dine. Vurder å bytte Twitter-kontoen din til et 2FA-system som ikke er avhengig av telefonnummeret ditt, for eksempel å bruke en autentiseringsapp i stedet.
• Vurder å droppe telefonbasert 2FA helt. Brudd som dette – selv om den sanne totalen er godt under 400 millioner brukere – er en god påminnelse om at selv om du har et privat telefonnummer som du bruker for 2FA, er det overraskende vanlig at cybercrooks kan koble telefonnummeret ditt til bestemte nettkontoer beskyttet av dette nummeret.

---