Dados do Twitter de “+400 milhões de usuários únicos” à venda

Republicado por Platão

seguidores: 0

Quente nos saltos do Saga de violação de dados do LastPass, que veio à tona pela primeira vez em agosto de 2022, vem a notícia de uma violação do Twitter, aparentemente baseada em um bug do Twitter que ganhou as manchetes no mesmo mês.

De acordo com uma captura de tela publicado pelo site de notícias Bleeping Computer, um cibercriminoso anunciou:

Estou vendendo dados de +400 milhões de usuários únicos do Twitter que foram extraídos por meio de uma vulnerabilidade, esses dados são totalmente privados.

E inclui e-mails e números de telefone de celebridades, políticos, empresas, usuários normais e muitos nomes de usuário OG e especiais.

OG, caso você não esteja familiarizado com esse termo no contexto de contas de mídia social, é a abreviação de gangsta original.,

Isso é uma metáfora (tornou-se popular, apesar de ser um tanto ofensivo) para qualquer conta de mídia social ou identificador online com um nome tão curto e estranho que deve ter sido adquirido desde o início, quando o serviço a que se refere era totalmente novo e hoi polloi ainda não tinha se reunido para participar.

Ter a chave privada do bloco Bitcoin 0, o chamado Bloco de gênese (porque foi criado, não extraído), seria talvez a coisa mais OG da ciberlândia; possuir um identificador do Twitter, como @jack ou qualquer nome ou frase curta e conhecida, não é tão legal, mas certamente procurada e potencialmente bastante valiosa.

.s-button+.s-button { margem esquerda: .3125rem; } .s-button { transição: todos os .15s lineares; tamanho da fonte: .875rem; altura da linha: 1.5; cor: #f2f2f2; família de fontes: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; peso da fonte: 400; estilo de fonte: normal; exibição: bloco em linha; preenchimento: .3125rem 1.25rem; cursor: ponteiro; alinhamento de texto: centro; decoração de texto: nenhuma; borda: 1px sólido #005bc8; raio da borda: 3px; cor de fundo: #005bc8; sombra de texto: nenhuma; } .s-button:hover { text-decoration: none; cor: #ff; cor da borda: #002d62; cor de fundo: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !important; cor da borda: #fff; cor de fundo: #fff; } .s-ad-sophos-mdr { tamanho da fonte: 1rem; altura da linha: 1.5; cor: #242629; família de fontes: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; peso da fonte: 400; estilo de fonte: normal; posição: relativa; largura máxima: 769px; margem: 15px automático; preenchimento: 30px 30px 25px; transição: box-shadow .25s cúbico-bezier( .645, .045, .355, 1 ); alinhamento de texto: centro; cor de fundo: #0d141d; repetição de fundo: sem repetição; posição de fundo: 50%; tamanho do fundo: capa; box-shadow: 0 0 0 0 0 transparente; cor de fundo: #005bc8; imagem de fundo: nenhuma; posição de fundo: 0 0; } .s-ad-sophos-mdr__title { tamanho da fonte: 2rem; altura da linha: 1.125; margem inferior: 4px; cor: #ff; } .s-ad-sophos-mdr__text { família de fontes: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; peso da fonte: 400; estilo de fonte: normal; tamanho da fonte: 17px; cor: #ff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { color: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { posição: absoluto; topo: 15px; direita: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; largura: 64px; altura: 11px; alinhamento vertical: topo; repetição de fundo: sem repetição; tamanho do plano de fundo: 64px 11px; } .s-ad-sophos-mdr__title { família de fontes: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; peso da fonte: 400; estilo de fonte: normal; tamanho da fonte: 28px; peso da fonte: 700; altura da linha: 1; margem inferior: 10px; alinhamento de texto: esquerda; } .s-ad-sophos-mdr__title svg { largura máxima: 100%; } .s-ad-sophos-mdr__text { tamanho da fonte: 16px; altura da linha: 1.25; alinhamento de texto: esquerda; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { posição: absoluto; direita: 30px; inferior: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { tamanho da fonte: 1.625rem; } .s-ad-sophos-mdr__text { tamanho da fonte: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

O que está à venda?

Ao contrário da violação do LastPass, nenhum dado relacionado a senha, listas de sites que você usa ou endereços residenciais parecem estar em risco neste momento.

Embora os bandidos por trás dessa venda de dados tenham escrito que as informações “inclui e-mails e números de telefone”, parece provável que sejam os únicos dados verdadeiramente privados no despejo, visto que parecem ter sido adquiridos em 2021, usando um vulnerabilidade que o Twitter diz que corrigiu em janeiro de 2022.

Essa falha foi causada por uma API do Twitter (interface de programação de aplicativos, jargão para “uma forma oficial e estruturada de fazer consultas remotas para acessar dados específicos ou executar comandos específicos”) que permitiria que você procurasse um endereço de e-mail ou número de telefone e recebesse uma resposta que não apenas indicasse se era em uso, mas também, se fosse, o identificador da conta associada a ele.

O risco imediatamente óbvio de um erro como esse é que um perseguidor, armado com o número de telefone ou endereço de e-mail de alguém - pontos de dados que muitas vezes são divulgados de propósito - poderia potencialmente vincular esse indivíduo a um identificador pseudo-anônimo do Twitter, um resultado que definitivamente não era para ser possível.

Embora essa brecha tenha sido corrigida em janeiro de 2022, o Twitter só a anunciou publicamente em agosto de 2022, alegando que o relatório inicial do bug foi uma divulgação responsável enviada por meio de seu sistema de recompensas de bugs.

Isso significa (supondo que os caçadores de recompensas que o enviaram foram de fato os primeiros a encontrá-lo e que nunca contaram a ninguém) que não foi tratado como um dia zero e, portanto, corrigi-lo impediria proativamente que a vulnerabilidade fosse sendo explorado.

Em meados de 2022, no entanto, o Twitter descobriu de outra forma:

Em julho de 2022, [Twitter] soube por meio de uma reportagem da imprensa que alguém havia potencialmente aproveitado isso e estava se oferecendo para vender as informações que havia compilado. Depois de analisar uma amostra dos dados disponíveis para venda, confirmamos que um malfeitor se aproveitou do problema antes que ele fosse resolvido.

Um bug amplamente explorado

Bem, agora parece que esse bug pode ter sido explorado de forma mais ampla do que parecia inicialmente, se é que os atuais criminosos que vendem dados estão dizendo a verdade sobre ter acesso a mais de 400 milhões de identificadores de Twitter raspados.

Como você pode imaginar, uma vulnerabilidade que permite que os criminosos procurem os números de telefone conhecidos de indivíduos específicos para fins nefastos, como assédio ou perseguição, provavelmente também permitirá que os invasores procurem números de telefone desconhecidos, talvez simplesmente gerando listas extensas, mas prováveis com base em intervalos de números conhecidos por estarem em uso, independentemente de esses números terem sido realmente emitidos ou não.

Você provavelmente esperaria que uma API como a supostamente usada aqui incluísse algum tipo de limitação de taxa, por exemplo, visando reduzir o número de consultas permitidas de um computador em um determinado período de tempo, de modo que o uso razoável da API não seja prejudicado, mas o uso excessivo e, portanto, provavelmente abusivo, seja reduzido.

No entanto, há dois problemas com essa suposição.

Em primeiro lugar, a API não deveria revelar as informações que fez em primeiro lugar.

Portanto, é razoável pensar que a limitação de taxa, se houver, não teria funcionado corretamente, visto que os invasores já haviam encontrado um caminho de acesso a dados que não estava sendo verificado adequadamente.

Em segundo lugar, invasores com acesso a uma botnet ou rede zumbi, de computadores infectados por malware poderiam ter usado milhares, talvez até milhões, de computadores de aparência inocente de outras pessoas, espalhados por todo o mundo, para fazer seu trabalho sujo.

Isso daria a eles os meios para colher os dados em lotes, evitando assim qualquer limitação de taxa, fazendo um número modesto de solicitações, cada uma de vários computadores diferentes, em vez de ter um pequeno número de computadores, cada um fazendo um número excessivo de solicitações.

O que os bandidos conseguiram?

Resumindo: não sabemos quantos desses “+400 milhões” de identificadores do Twitter são:

Genuinamente em uso. Podemos presumir que há muitas contas encerradas na lista e talvez contas que nunca existiram, mas foram incluídas erroneamente na pesquisa ilegal dos cibercriminosos. (Quando você está usando um caminho não autorizado em um banco de dados, nunca pode ter certeza de quão precisos serão seus resultados, ou quão confiável você pode detectar que uma pesquisa falhou.)
Ainda não conectado publicamente com e-mails e números de telefone. Alguns usuários do Twitter, principalmente aqueles que promovem seus serviços ou negócios, permitem de bom grado que outras pessoas conectem seu endereço de e-mail, número de telefone e identificador do Twitter.
Contas inativas. Isso não elimina o risco de conectar esses identificadores do Twitter com e-mails e números de telefone, mas provavelmente haverá um monte de contas na lista que não terão muito, ou mesmo nenhum, valor para outros cibercriminosos por qualquer motivo. tipo de golpe de phishing direcionado.
Já comprometido por outras fontes. Vemos regularmente enormes listas de dados “roubados de X” à venda na dark web, mesmo quando o serviço X não teve uma violação ou vulnerabilidade recente, porque esses dados foram roubados anteriormente de outro lugar.

No entanto, o jornal The Guardian do Reino Unido relatórios que uma amostra dos dados, já vazada pelos bandidos como uma espécie de “provador”, sugere fortemente que pelo menos parte do banco de dados de vários milhões de registros à venda consiste em dados válidos, não foi vazado antes, foi não deveria ser público e quase certamente foi extraído do Twitter.

Simplificando, o Twitter tem muitas explicações a dar, e os usuários do Twitter em todos os lugares provavelmente estarão perguntando: “O que isso significa e o que devo fazer?”

O que vale a pena?

Aparentemente, os próprios bandidos parecem ter avaliado as entradas em seu banco de dados roubado como tendo pouco valor individual, o que sugere que eles não veem o risco pessoal de ter seus dados vazados dessa maneira como terrivelmente alto.

Eles aparentemente estão pedindo $ 200,000 pelo lote para uma venda única a um único comprador, que sai a 1/20 de um centavo dos EUA por usuário.

Ou eles aceitam $ 60,000 de um ou mais compradores (cerca de 7000 contas por dólar) se ninguém pagar o preço “exclusivo”.

Ironicamente, o principal objetivo dos bandidos parece ser chantagear o Twitter, ou pelo menos constranger a empresa, alegando que:

Twitter e Elon Musk… sua melhor opção para evitar o pagamento de US$ 276 milhões em multas por violação do GDPR… é comprar esses dados exclusivamente.

Mas agora que o gato está fora do saco, dado que a violação foi anunciada e divulgada de qualquer maneira, é difícil imaginar como o pagamento neste momento tornaria o Twitter compatível com o GDPR.

Afinal, os bandidos aparentemente já tinham esses dados há algum tempo, podem muito bem tê-los adquirido de um ou mais terceiros de qualquer maneira e já se esforçaram para “provar” que a violação é real e na escala reivindicado.

De fato, a captura de tela da mensagem que vimos nem mencionava a exclusão dos dados se o Twitter pagasse (desde que você pudesse confiar nos bandidos para excluí-los de qualquer maneira).

O cartaz prometia apenas que “Vou deletar este tópico [no fórum da web] e não venderei esses dados novamente.”

O que fazer?

O Twitter não vai pagar, até porque não faz sentido, já que qualquer dado violado foi aparentemente roubado há um ano ou mais, então pode estar (e provavelmente está) nas mãos de vários cibercriminosos agora.

Então, nosso conselho imediato é:

Esteja ciente dos e-mails que você pode não ter pensado anteriormente como fraudes. Se você tinha a impressão de que o link entre seu identificador do Twitter e seu endereço de e-mail não era amplamente conhecido e, portanto, era improvável que os e-mails que identificassem exatamente seu nome no Twitter fossem de fontes não confiáveis… não faça mais isso!
Se você usar seu número de telefone para 2FA no Twitter, saiba que pode ser alvo de troca de SIM. É aí que um bandido que já conhece sua senha do Twitter recebe um novo cartão SIM emitido com o seu número, obtendo acesso instantâneo aos seus códigos 2FA. Considere mudar sua conta do Twitter para um sistema 2FA que não dependa do seu número de telefone, como usar um aplicativo autenticador.
Considere abandonar completamente o 2FA baseado em telefone. Violações como essa – mesmo que o total real esteja bem abaixo de 400 milhões de usuários – são um bom lembrete de que, mesmo que você tenha um número de telefone privado usado para 2FA, é surpreendentemente comum que cibercriminosos consigam conectar seu número de telefone a endereços específicos contas online protegidas por esse número.

Carimbo de hora: 28 de dezembro de 202228 de dezembro de 2022