Twitterowe dane „+400 milionów unikalnych użytkowników” na sprzedaż – co robić?

Gorąco na piętach Saga naruszenia danych LastPass, która po raz pierwszy wyszła na jaw w sierpniu 2022 r., pochodzi z wiadomości o włamaniu na Twitterze, najwyraźniej opartym na błędzie Twittera, który po raz pierwszy trafił na pierwsze strony gazet w tym samym miesiącu.

Według zrzutu ekranu napisali przez serwis informacyjny Bleeping Computer, cyberprzestępca reklamował:

Sprzedaję dane ponad 400 milionów unikalnych użytkowników Twittera, które zostały zeskrobane przez lukę w zabezpieczeniach, te dane są całkowicie prywatne.

Obejmuje e-maile i numery telefonów celebrytów, polityków, firm, zwykłych użytkowników oraz wiele OG i specjalnych nazw użytkowników.

OG, jeśli nie znasz tego terminu w kontekście kont w mediach społecznościowych, to skrót od oryginalny gangster.,

To metafora (stała się mainstreamowa, chociaż jest nieco obraźliwa) dla dowolnego konta w mediach społecznościowych lub identyfikatora internetowego o tak krótkiej i zabawnej nazwie, że musiała zostać złapana wcześnie, kiedy usługa, do której się odnosi, była zupełnie nowa oraz szary tłum jeszcze nie zebrali się, by się przyłączyć.

Posiadanie klucza prywatnego do bloku Bitcoin 0, tzw Blok Genesis (ponieważ został stworzony, a nie wydobyty), byłby prawdopodobnie najbardziej nietypową rzeczą w cyberlandzie; posiadanie uchwytu na Twitterze, takiego jak @jack lub jakakolwiek krótka, dobrze znana nazwa lub fraza, nie jest tak fajna, ale z pewnością poszukiwana i potencjalnie całkiem wartościowa.

Co jest na sprzedaż?

W przeciwieństwie do naruszenia LastPass, tym razem żadne dane związane z hasłami, listy stron internetowych, z których korzystasz, ani adresy domowe nie wydają się być zagrożone.

Chociaż oszuści stojący za tą wyprzedażą danych napisali, że informacja „zawiera e-maile i numery telefonów”, wydaje się prawdopodobne, że są to jedyne naprawdę prywatne dane na wysypisku, biorąc pod uwagę, że zostały one pozyskane w 2021 r. przy użyciu wrażliwość że Twitter twierdzi, że naprawił to w styczniu 2022 r.

Ta wada została spowodowana przez API Twittera (Interfejs aplikacji do programowania, w żargonie „oficjalny, ustrukturyzowany sposób wysyłania zdalnych zapytań w celu uzyskania dostępu do określonych danych lub wykonania określonych poleceń”), który umożliwiłby wyszukanie adresu e-mail lub numeru telefonu i otrzymanie odpowiedzi, która nie tylko wskazywałaby, czy w użyciu, ale także, jeśli był, uchwyt powiązanego z nim konta.

Natychmiast oczywiste ryzyko takiej pomyłki polega na tym, że prześladowca, uzbrojony w czyjś numer telefonu lub adres e-mail – punkty danych, które są często celowo upubliczniane – może potencjalnie powiązać tę osobę z powrotem z pseudoanonimowym uchwytem na Twitterze, co może zdecydowanie nie miało być możliwe.

Chociaż ta luka została załatana w styczniu 2022 r., Twitter ogłosił to publicznie dopiero w sierpniu 2022 r., twierdząc, że początkowy raport o błędzie był odpowiedzialnym ujawnieniem przesłanym za pośrednictwem jego systemu nagród za błędy.

Oznacza to (zakładając, że łowcy nagród, którzy ją przesłali, byli rzeczywiście pierwszymi, którzy ją znaleźli i nigdy nikomu o tym nie powiedzieli), że luka nie była traktowana jako zero-day, a zatem załatanie jej proaktywnie zapobiegłoby wykryciu luki być eksploatowanym.

Jednak w połowie 2022 r. Twitter dowiedziałem się Inaczej:

W lipcu 2022 r. [Twitter] dowiedział się z doniesień prasowych, że ktoś potencjalnie wykorzystał to i zaoferował sprzedaż zebranych przez siebie informacji. Po przejrzeniu próbki dostępnych danych dotyczących sprzedaży potwierdziliśmy, że nieuczciwy podmiot wykorzystał ten problem, zanim został rozwiązany.

Szeroko wykorzystywany błąd

Cóż, teraz wygląda na to, że ten błąd mógł być wykorzystywany szerzej, niż się początkowo wydawało, jeśli rzeczywiście obecni oszuści zajmujący się handlem danymi mówią prawdę o dostępie do ponad 400 milionów zeskrobanych wpisów na Twitterze.

Jak możesz sobie wyobrazić, luka, która pozwala przestępcom wyszukiwać znane numery telefonów określonych osób w niecnych celach, takich jak nękanie lub prześladowanie, prawdopodobnie pozwoli również atakującym wyszukiwać nieznane numery telefonów, być może po prostu poprzez generowanie obszernych, ale prawdopodobnych list na podstawie zakresów numerów, o których wiadomo, że są w użyciu, niezależnie od tego, czy numery te zostały kiedykolwiek faktycznie nadane, czy nie.

Prawdopodobnie spodziewałbyś się, że interfejs API, taki jak ten, który został rzekomo użyty tutaj, zawiera jakiś rodzaj ograniczenie szybkości, na przykład mające na celu zmniejszenie liczby zapytań dozwolonych z jednego komputera w danym okresie, tak aby nie utrudniać rozsądnego korzystania z interfejsu API, ale ograniczać nadmierne, a zatem prawdopodobnie nadużycie.

Jednak z tym założeniem wiążą się dwa problemy.

Po pierwsze, interfejs API nie miał ujawniać informacji, które miał w pierwszej kolejności.

Dlatego rozsądne jest sądzić, że ograniczenie szybkości, gdyby rzeczywiście istniało, nie działałoby poprawnie, biorąc pod uwagę, że atakujący już znaleźli ścieżkę dostępu do danych, która i tak nie była odpowiednio sprawdzana.

Po drugie, atakujący z dostępem do botnetu lub sieć zombie, komputerów zainfekowanych złośliwym oprogramowaniem mogło wykorzystać tysiące, a może nawet miliony niewinnie wyglądających komputerów innych osób, rozsianych po całym świecie, do wykonania swojej brudnej roboty.

Dałoby im to środki do zbierania danych w partiach, omijając w ten sposób wszelkie ograniczenia szybkości poprzez wysyłanie skromnej liczby żądań z wielu różnych komputerów, zamiast posiadania niewielkiej liczby komputerów, z których każdy wykonuje nadmierną liczbę żądań.

W co wpadli oszuści?

Podsumowując: nie wiemy, ile z tych „+400 milionów” wpisów na Twitterze to:

• Autentycznie w użyciu. Możemy założyć, że na liście znajduje się wiele zamkniętych kont, a być może takich, które nigdy nie istniały, ale zostały przez pomyłkę uwzględnione w nielegalnej ankiecie przeprowadzonej przez cyberprzestępców. (Kiedy używasz nieautoryzowanej ścieżki do bazy danych, nigdy nie możesz być całkiem pewien, jak dokładne będą twoje wyniki lub jak niezawodnie możesz wykryć, że wyszukiwanie się nie powiodło).
• Nie jest jeszcze publicznie połączony za pomocą e-maili i numerów telefonów. Niektórzy użytkownicy Twittera, w szczególności ci, którzy promują swoje usługi lub swoją działalność, chętnie pozwalają innym osobom połączyć swój adres e-mail, numer telefonu i nazwę na Twitterze.
• Nieaktywne konta. Nie eliminuje to ryzyka powiązania tych uchwytów na Twitterze z adresami e-mail i numerami telefonów, ale na liście prawdopodobnie znajdzie się kilka kont, które nie będą miały dużej lub nawet żadnej wartości dla innych cyberprzestępców z jakiegokolwiek powodu. rodzaj ukierunkowanego oszustwa typu phishing.
• Już skompromitowane przez inne źródła. Regularnie widzimy ogromne listy danych „skradzionych z X” wystawionych na sprzedaż w ciemnej sieci, nawet jeśli usługa X nie miała niedawnego naruszenia lub luki w zabezpieczeniach, ponieważ dane te zostały wcześniej skradzione z innego miejsca.

Niemniej jednak gazeta Guardian w Wielkiej Brytanii Raporty że próbka danych, która została już ujawniona przez oszustów jako swego rodzaju „degustator”, zdecydowanie sugeruje, że przynajmniej część wielomilionowej bazy danych będącej przedmiotem sprzedaży zawiera ważne dane, które nie wyciekły wcześniej, nie miał być publiczny i prawie na pewno został pobrany z Twittera.

Mówiąc najprościej, Twitter ma wiele do wyjaśnienia, a użytkownicy Twittera na całym świecie prawdopodobnie pytają: „Co to oznacza i co powinienem zrobić?”

Co to jest warte

Wygląda na to, że oszuści sami ocenili wpisy w wykradzionej bazie danych jako mające niewielką indywidualną wartość, co sugeruje, że nie postrzegają osobistego ryzyka związanego z wyciekiem danych w ten sposób jako strasznie wysokiego.

Najwyraźniej żądają 200,000 1 USD za partię za jednorazową sprzedaż jednemu kupującemu, co daje 20/XNUMX centa amerykańskiego na użytkownika.

Lub wezmą 60,000 7000 $ od jednego lub więcej kupujących (blisko XNUMX kont na dolara), jeśli nikt nie zapłaci „ekskluzywnej” ceny.

Jak na ironię, głównym celem oszustów wydaje się być szantażowanie Twittera lub przynajmniej zawstydzenie firmy, twierdząc, że:

Twitter i Elon Musk… najlepszym rozwiązaniem, aby uniknąć płacenia 276 milionów dolarów grzywny za naruszenie RODO… jest zakup wyłącznie tych danych.

Ale teraz, gdy kot wyszedł z worka, biorąc pod uwagę, że naruszenie zostało i tak ogłoszone i nagłośnione, trudno sobie wyobrazić, w jaki sposób zapłacenie w tym momencie sprawiłoby, że Twitter byłby zgodny z RODO.

W końcu oszuści najwyraźniej mieli te dane już od jakiegoś czasu, równie dobrze mogli zdobyć je od jednej lub więcej stron trzecich i już zrobili wszystko, co w ich mocy, aby „udowodnić”, że naruszenie jest rzeczywiste i na skalę przejęte.

Rzeczywiście, zrzut ekranu wiadomości, który widzieliśmy, nie wspominał nawet o usunięciu danych, jeśli Twitter miałby zapłacić (ponieważ można ufać oszustom, że i tak je usuną).

Plakat obiecywał tylko to „Usunę ten wątek [na forum internetowym] i nie będę ponownie sprzedawać tych danych”.

Co robić?

Twitter nie zamierza płacić, między innymi dlatego, że nie ma to większego sensu, biorąc pod uwagę, że wszelkie naruszone dane zostały najwyraźniej skradzione rok lub więcej temu, więc może już być (i prawdopodobnie jest) w rękach wielu różnych cyberprzestępców.

Tak więc nasza natychmiastowa rada jest następująca:

• Uważaj na e-maile, o których wcześniej nie pomyślałeś, że mogą być oszustwem. Jeśli miałeś wrażenie, że powiązanie między Twoim nickiem na Twitterze a Twoim adresem e-mail nie było powszechnie znane, a zatem e-maile, które dokładnie identyfikowały Twoją nazwę na Twitterze, prawdopodobnie nie pochodziły z niezaufanych źródeł… nie rób tego więcej!
• Jeśli używasz swojego numeru telefonu do 2FA na Twitterze, pamiętaj, że możesz być celem wymiany karty SIM. To tam oszust, który zna już twoje hasło do Twittera, dostaje wydana nowa karta SIM z twoim numerem, uzyskując w ten sposób natychmiastowy dostęp do twoich kodów 2FA. Rozważ zmianę swojego konta na Twitterze na system 2FA, który nie zależy od Twojego numeru telefonu, na przykład za pomocą aplikacji uwierzytelniającej.
• Rozważ całkowite zrezygnowanie z 2FA opartego na telefonie. Tego rodzaju naruszenia – nawet jeśli rzeczywista liczba użytkowników wynosi znacznie poniżej 400 milionów – są dobrym przypomnieniem, że nawet jeśli masz prywatny numer telefonu, którego używasz do weryfikacji dwuetapowej, cyberprzestępcy zaskakująco często są w stanie powiązać Twój numer telefonu z określonymi kont internetowych chronionych tym numerem.

---