Fierbinte pe călcâiele Saga LastPass privind încălcarea datelor, care a apărut pentru prima dată în august 2022, vine știrile despre o încălcare a Twitter, aparent bazată pe o eroare Twitter care a făcut prima oară titlurile în aceeași lună.
Conform unei capturi de ecran postat de site-ul de știri Bleeping Computer, un criminal cibernetic a făcut reclamă:
Vând date a +400 de milioane de utilizatori Twitter unici care au fost răzuite printr-o vulnerabilitate, aceste date sunt complet private.
Și include e-mailuri și numere de telefon ale celebrităților, politicienilor, companiilor, utilizatorilor normali și o mulțime de nume de utilizator OG și speciale.
OG, în cazul în care nu sunteți familiarizat cu acel termen în contextul conturilor de rețele sociale, este prescurtarea pentru gangsta originală.,
Aceasta este o metaforă (a devenit mainstream, pentru toate că este oarecum ofensator) pentru orice cont de socializare sau identificator online cu un nume atât de scurt și funky încât trebuie să fi fost exploatat devreme, pe vremea când serviciul la care se referă era nou-nouț. și hoi polloi încă nu se înghesuise să se alăture.
Având cheia privată pentru blocul Bitcoin 0, așa-numita Blocul Genesis (pentru că a fost creat, nu minat), ar fi poate cel mai OG lucru din cyberland; deținând un handle Twitter, cum ar fi @jack sau orice nume sau expresie scurtă, binecunoscută, nu este la fel de cool, dar cu siguranță căutată și potențial destul de valoroasă.
Ce se vinde?
Spre deosebire de încălcarea LastPass, nicio dată legată de parole, liste de site-uri web pe care le utilizați sau adrese de domiciliu nu par să fie în pericol de această dată.
Deși escrocii din spatele acestei vânzări de date au scris că informațiile „include e-mailuri și numere de telefon”, se pare că acestea sunt singurele date cu adevărat private din groapă, având în vedere că se pare că au fost achiziționate încă din 2021, folosind un vulnerabilitate că Twitter spune că s-a rezolvat încă din ianuarie 2022.
Acest defect a fost cauzat de un API Twitter (interfața de programare a aplicației, jargon pentru „un mod oficial, structurat de a efectua interogări de la distanță pentru a accesa anumite date sau pentru a efectua anumite comenzi”), care vă permite să căutați o adresă de e-mail sau un număr de telefon și să primiți un răspuns care nu numai că a indicat dacă a fost în uz, dar și, dacă a fost, mânerul contului asociat acestuia.
Riscul imediat evident al unei gafe de genul acesta este acela că un urmăritor, înarmat cu numărul de telefon sau adresa de e-mail a cuiva – puncte de date care sunt adesea făcute publice intenționat – ar putea lega respectivul individ înapoi la un handle Twitter pseudo-anonim, un rezultat care cu siguranță nu ar fi trebuit să fie posibil.
Deși această lacună a fost remediată în ianuarie 2022, Twitter a anunțat-o public abia în august 2022, susținând că raportul inițial de eroare a fost o dezvăluire responsabilă transmisă prin sistemul său de recompense pentru erori.
Aceasta înseamnă (presupunând că vânătorii de recompense care l-au trimis au fost într-adevăr primii care l-au găsit și că nu au spus niciodată nimănui altcuiva) că nu a fost tratat ca o zi zero și, prin urmare, corectarea acesteia ar preveni în mod proactiv vulnerabilitatea. fiind exploatat.
La mijlocul anului 2022, însă, Twitter aflat in caz contrar:
În iulie 2022, [Twitter] a aflat printr-un raport de presă că cineva ar fi putut profita de acest lucru și s-a oferit să vândă informațiile pe care le-a compilat. După ce am analizat un eșantion de date disponibile pentru vânzare, am confirmat că un actor rău a profitat de problemă înainte de a fi rezolvată.
Un bug exploatat pe scară largă
Ei bine, acum se pare că acest bug ar fi fost exploatat mai pe scară largă decât părea inițial, dacă într-adevăr actualii escroci de trafic de date spun adevărul despre faptul că au acces la peste 400 de milioane de mânere Twitter răzuite.
După cum vă puteți imagina, o vulnerabilitate care le permite infractorilor să caute numerele de telefon cunoscute ale anumitor persoane în scopuri nefaste, cum ar fi hărțuirea sau urmărirea, este probabil să permită atacatorilor să caute numere de telefon necunoscute, poate pur și simplu prin generarea de liste extinse, dar probabile. pe baza intervalelor de numere cunoscute a fi utilizate, indiferent dacă acele numere au fost sau nu emise.
Probabil v-ați aștepta ca un API precum cel despre care se presupune că a fost folosit aici să includă un fel de limitare de rata, de exemplu, care vizează reducerea numărului de interogări permise de pe un computer într-o anumită perioadă de timp, astfel încât utilizarea rezonabilă a API-ului să nu fie împiedicată, dar utilizarea excesivă și, prin urmare, probabil abuzivă, ar fi redusă.
Cu toate acestea, există două probleme cu această presupunere.
În primul rând, API-ul nu trebuia să dezvăluie informațiile pe care le-a făcut în primul rând.
Prin urmare, este rezonabil să credem că limitarea ratei, dacă într-adevăr ar exista, nu ar fi funcționat corect, având în vedere că atacatorii au găsit deja o cale de acces la date care oricum nu era verificată corespunzător.
În al doilea rând, atacatorii cu acces la un botnet sau rețea de zombi, de computere infectate cu malware ar fi putut folosi mii, poate chiar milioane, de computere cu aspect nevinovat ale altor oameni, răspândite în toată lumea, pentru a-și face treaba murdară.
Acest lucru le-ar oferi mijloacele de a colecta datele în loturi, evitând astfel orice limitare a ratei, făcând un număr modest de solicitări fiecare de la o mulțime de computere diferite, în loc să aibă un număr mic de computere care fac fiecare un număr excesiv de solicitări.
De ce s-au pus escrocii?
În rezumat: nu știm câte dintre acele „+400 de milioane” de adrese Twitter sunt:
- În uz cu adevărat. Putem presupune că există o mulțime de conturi închise în listă și, poate, conturi care nici măcar nu au existat, dar care au fost incluse în mod eronat în sondajul ilegal al infractorilor cibernetici. (Când utilizați o cale neautorizată într-o bază de date, nu puteți fi niciodată destul de sigur cât de precise vor fi rezultatele dvs. sau cât de fiabil puteți detecta că o căutare a eșuat.)
- Nu este deja conectat public cu e-mailuri și numere de telefon. Unii utilizatori Twitter, în special cei care își promovează serviciile sau afacerea, permit de bunăvoie altor persoane să-și conecteze adresa de e-mail, numărul de telefon și identificatorul Twitter.
- Conturi inactive. Acest lucru nu elimină riscul de a conecta acele mânere Twitter cu e-mailuri și numere de telefon, dar este probabil să existe o grămadă de conturi în listă care nu vor avea prea multă valoare, sau chiar deloc, pentru alți infractori cibernetici. un fel de înșelătorie de tip phishing.
- Deja compromis prin alte surse. Vedem în mod regulat liste uriașe de date „furate de la X” la vânzare pe dark web, chiar și atunci când serviciul X nu a avut o breșă sau o vulnerabilitate recentă, deoarece acele date au fost furate mai devreme din altă parte.
Cu toate acestea, ziarul The Guardian din Marea Britanie Rapoarte că un eșantion de date, deja scurs de escroci ca un fel de „degustător”, sugerează cu tărie că cel puțin o parte din baza de date de mai multe milioane de înregistrări de vânzare constă din date valide, nu a fost scurs înainte, nu a fost Nu ar trebui să fie public și aproape sigur a fost extras de pe Twitter.
Mai simplu spus, Twitter are o mulțime de explicații de făcut, iar utilizatorii Twitter de pretutindeni sunt probabil să se întrebe: „Ce înseamnă asta și ce ar trebui să fac?”
Ce merită?
Aparent, escrocii înșiși par să fi evaluat intrările din baza lor de date furată ca având o valoare individuală mică, ceea ce sugerează că nu văd riscul personal de a avea datele tale scurse ca fiind teribil de mare.
Se pare că ei cer 200,000 de dolari pentru lot pentru o vânzare unică către un singur cumpărător, care iese la 1/20 dintr-un cent american per utilizator.
Sau vor lua 60,000 USD de la unul sau mai mulți cumpărători (aproape de 7000 de conturi pe dolar) dacă nimeni nu plătește prețul „exclusiv”.
În mod ironic, scopul principal al escrocilor pare să fie de a șantaja Twitter, sau cel puțin de a face de rușine compania, susținând că:
Twitter și Elon Musk... cea mai bună opțiune pentru a evita să plătiți 276 de milioane USD în amenzi pentru încălcarea GDPR... este să cumpărați exclusiv aceste date.
Dar acum, când pisica a ieșit din geantă, având în vedere că încălcarea a fost oricum anunțată și mediatizată, este greu de imaginat cum plătirea în acest moment ar face Twitter conform GDPR.
La urma urmei, escrocii au aparent aceste date deja de ceva timp, oricum ar fi putut să le fi achiziționat de la unul sau mai mulți terți și au făcut deja tot posibilul pentru a „demonstra” că încălcarea este reală și la scară. pretins.
Într-adevăr, captura de ecran a mesajului pe care am văzut-o nu menționa nici măcar ștergerea datelor dacă Twitter ar plăti (în măsura în care ai putea avea încredere că escrocii le vor șterge oricum).
Afișul promitea doar asta „Voi șterge acest thread [pe forumul web] și nu voi mai vinde aceste date.”
Ce să fac?
Twitter nu va plăti, nu în ultimul rând pentru că nu are niciun rost, având în vedere că orice date încălcate aparent au fost furate cu un an sau mai mult în urmă, așa că ar putea fi (și probabil este) în mâinile a numeroși diferiți escroci cibernetici până acum.
Deci, sfatul nostru imediat este:
- Fiți conștienți de e-mailurile pe care s-ar putea să nu le credeați anterior a fi înșelătorii. Dacă ați avea impresia că legătura dintre identificatorul dvs. de Twitter și adresa dvs. de e-mail nu era cunoscută pe scară largă și, prin urmare, că e-mailurile care vă identificau exact numele Twitter nu ar fi probabil să provină din surse nesigure... nu mai face asta!
- Dacă folosiți numărul de telefon pentru 2FA pe Twitter, rețineți că ați putea fi o țintă a schimbului de SIM. Acolo primește un escroc care știe deja parola ta de Twitter a fost emisă o nouă cartelă SIM cu numărul tău pe el, obținând astfel acces instantaneu la codurile tale 2FA. Luați în considerare trecerea contului dvs. de Twitter la un sistem 2FA care nu depinde de numărul dvs. de telefon, cum ar fi utilizarea unei aplicații de autentificare.
- Luați în considerare renunțarea completă la 2FA bazată pe telefon. Încălcări de genul acesta – chiar dacă totalul real este cu mult sub 400 de milioane de utilizatori – sunt o reamintire bună că, chiar dacă aveți un număr de telefon privat pe care îl utilizați pentru 2FA, este surprinzător de comun ca infractorii cibernetici să poată conecta numărul dvs. de telefon la anumite conturi online protejate de acel număr.
- blockchain
- încălcarea
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- pierderi de date
- Departamentul de Securitate Națională
- portofele digitale
- stoarcere
- firewall
- Kaspersky
- malware
- McAfee
- Securitate goală
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- stare de nervozitate
- VPN
- securitatea site-ului
- zephyrnet
![S3 Ep92: Log4Shell4Ever, sfaturi de călătorie și înșelătorie [Audio + Text] PlatoBlockchain Data Intelligence. Căutare verticală. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/ns-s3-ep92-1200-300x156.jpg "S3 Ep92: Log4Shell4Ever, sfaturi de călătorie și înșelătorie [Audio + Text]")
![S3 Ep112: Încălcările de date vă pot bântui de mai multe ori! [Audio + Text] PlatoBlockchain Data Intelligence. Căutare verticală. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/goner-1-360x198.png "S3 Ep112: Încălcările de date vă pot bântui de mai multe ori! [Audio + Text]")