Данные Twitter о «+400 миллионах уникальных пользователей» выставлены на продажу — что делать?

Горячо по пятам Сага об утечке данных LastPass, о котором впервые стало известно в августе 2022 года, появились новости о взломе Твиттера, по-видимому, из-за ошибки Твиттера, которая впервые попала в заголовки в том же месяце.

Судя по скриншоту размещены на новостном сайте Bleeping Computer киберпреступник разместил объявление:

Я продаю данные более 400 миллионов уникальных пользователей Твиттера, которые были удалены с помощью уязвимости, эти данные полностью конфиденциальны.

И это включает в себя адреса электронной почты и номера телефонов знаменитостей, политиков, компаний, обычных пользователей, а также множество OG и специальных имен пользователей.

OG, если вы не знакомы с этим термином в контексте аккаунтов в социальных сетях, — это сокращение от оригинальный гангста.,

Это метафора (она стала мейнстримом, несмотря на то, что она несколько оскорбительна) для любой учетной записи в социальной сети или онлайн-идентификатора с таким коротким и причудливым именем, что его, должно быть, расхватали в самом начале, когда сервис, к которому он относится, был совершенно новым. и хой поллой еще не собрался присоединиться.

Имея закрытый ключ для биткойн-блока 0, так называемый Генезис блок (потому что она была создана, а не добыта), пожалуй, самая фантастическая вещь в киберстране; владение дескриптором Twitter, например @jack или любое короткое, известное имя или фраза, не так круто, но, безусловно, востребовано и потенциально весьма ценно.

Что продается?

В отличие от взлома LastPass, на этот раз никакие данные, связанные с паролями, списки веб-сайтов, которые вы используете, или домашние адреса, похоже, не находятся под угрозой.

Хотя мошенники, стоящие за этой распродажей данных, писали, что информация «включает адреса электронной почты и номера телефонов», кажется вероятным, что это единственные по-настоящему частные данные в дампе, учитывая, что они, похоже, были получены еще в 2021 году с использованием уязвимость что Twitter говорит, что это было исправлено еще в январе 2022 года.

Этот недостаток был вызван Twitter API (интерфейс прикладного программирования, жаргон для «официальный, структурированный способ выполнения удаленных запросов для доступа к определенным данным или выполнения определенных команд»), который позволит вам найти адрес электронной почты или номер телефона и получить ответ, который не только указывает, был ли он в использовании, но также, если он был, дескриптор связанной с ним учетной записи.

Непосредственно очевидный риск такой ошибки заключается в том, что преследователь, вооруженный чьим-то номером телефона или адресом электронной почты — точками данных, которые часто преднамеренно предаются гласности, — может потенциально связать этого человека с псевдоанонимным дескриптором в Твиттере, результат, который определенно не должно было быть возможным.

Хотя эта лазейка была исправлена ​​в январе 2022 года, Twitter публично объявил об этом только в августе 2022 года, заявив, что первоначальный отчет об ошибке был ответственным раскрытием информации, представленным через его систему вознаграждения за ошибки.

Это означает (при условии, что охотники за головами, которые отправили его, действительно были первыми, кто нашел его, и что они никогда никому не говорили), что он не рассматривался как нулевой день, и, таким образом, его исправление предотвратило бы уязвимость в упреждающем режиме. эксплуатируется.

Однако в середине 2022 г. Twitter выяснил в противном случае:

В июле 2022 года [Twitter] узнал из сообщения в прессе, что кто-то потенциально использовал это и предлагал продать собранную ими информацию. Изучив выборку данных, доступных для продажи, мы подтвердили, что злоумышленник воспользовался проблемой до того, как она была решена.

Широко используемая ошибка

Что ж, теперь похоже, что эта ошибка, возможно, использовалась более широко, чем казалось сначала, если действительно нынешние мошенники, торгующие данными, говорят правду о том, что у них есть доступ к более чем 400 миллионам очищенных дескрипторов Twitter.

Как вы можете себе представить, уязвимость, которая позволяет преступникам искать известные телефонные номера определенных лиц в гнусных целях, таких как домогательство или преследование, вероятно, также позволяет злоумышленникам искать неизвестные телефонные номера, возможно, просто путем создания обширных, но вероятных списков. на основе диапазонов номеров, которые, как известно, используются, независимо от того, были ли эти номера когда-либо выпущены или нет.

Вы, вероятно, ожидаете, что API, подобный тому, который предположительно использовался здесь, будет включать какой-то вид ограничение скорости, например, направленный на сокращение количества запросов, разрешенных с одного компьютера в любой заданный период времени, чтобы не препятствовать разумному использованию API, но было бы сокращено чрезмерное и, следовательно, возможное злоупотребление.

Однако есть две проблемы с этим предположением.

Во-первых, API не должен был раскрывать информацию, которую он делал изначально.

Поэтому разумно предположить, что ограничение скорости, если оно действительно было, не сработало бы корректно, учитывая, что злоумышленники уже нашли путь доступа к данным, который все равно не проверялся должным образом.

Во-вторых, злоумышленники, имеющие доступ к ботнету или сеть зомби, зараженных вредоносным ПО компьютеров могли бы использовать тысячи, а может быть, и миллионы безобидных на вид компьютеров других людей, разбросанных по всему миру, для выполнения своей грязной работы.

Это дало бы им необходимые средства для сбора данных в пакетах, тем самым обойдя любое ограничение скорости, сделав скромное количество запросов с множества разных компьютеров, вместо того, чтобы иметь небольшое количество компьютеров, каждый из которых делает чрезмерное количество запросов.

Чем завладели мошенники?

Подводя итог: мы не знаем, сколько из этих «+400 миллионов» дескрипторов Twitter:

• Реально в использовании. Можно предположить, что в списке есть множество закрытых учетных записей, а возможно, и учетных записей, которые никогда не существовали, но были ошибочно включены в незаконный опрос киберпреступников. (Когда вы используете неавторизованный путь к базе данных, вы никогда не можете быть полностью уверены, насколько точными будут ваши результаты или насколько надежно вы сможете определить, что поиск не удался.)
• Еще не публично связаны с электронной почтой и телефонными номерами. Некоторые пользователи Твиттера, особенно те, кто продвигает свои услуги или свой бизнес, охотно позволяют другим людям подключать свой адрес электронной почты, номер телефона и дескриптор Твиттера.
• Неактивные аккаунты. Это не устраняет риск связи этих дескрипторов Twitter с адресами электронной почты и номерами телефонов, но, вероятно, в списке будет куча учетных записей, которые не будут иметь большой или даже какой-либо ценности для других киберпреступников. своего рода целенаправленный фишинг.
• Уже скомпрометирован через другие источники. Мы регулярно видим огромные списки данных, «украденных у X», выставленных на продажу в темной сети, даже если в сервисе X не было недавнего взлома или уязвимости, потому что эти данные были украдены ранее откуда-то еще.

Тем не менее, газета Guardian в Великобритании отчеты что образец данных, уже просочившихся мошенниками в качестве своего рода «дегустатора», убедительно свидетельствует о том, что, по крайней мере, часть многомиллионной базы данных, выставленной на продажу, состоит из достоверных данных, ранее не просачивавшихся, не не должно быть общедоступным и почти наверняка было извлечено из Твиттера.

Проще говоря, Твиттеру действительно есть что объяснить, и пользователи Твиттера во всем мире, вероятно, будут спрашивать: «Что это значит и что мне делать?»

Что это стоит?

Судя по всему, сами мошенники оценили записи в своей похищенной базе данных как имеющие небольшую индивидуальную ценность, что говорит о том, что они не считают личный риск утечки ваших данных таким образом ужасно высоким.

Очевидно, они просят 200,000 1 долларов за лот для разовой продажи одному покупателю, которая выходит за 20/XNUMX цента США за пользователя.

Или они возьмут 60,000 7000 долларов с одного или нескольких покупателей (около XNUMX XNUMX аккаунтов за доллар), если никто не заплатит «эксклюзивную» цену.

По иронии судьбы, основная цель мошенников, похоже, состоит в том, чтобы шантажировать Twitter или, по крайней мере, поставить компанию в неловкое положение, утверждая, что:

Твиттер и Илон Маск… лучший способ избежать уплаты штрафа в размере 276 миллионов долларов США за нарушение GDPR… — купить эти данные исключительно.

Но теперь, когда кот вылез из мешка, учитывая, что нарушение было объявлено и опубликовано в любом случае, трудно представить, как оплата на этом этапе сделает Twitter совместимым с GDPR.

В конце концов, мошенники, по-видимому, уже какое-то время располагали этими данными, вполне могли получить их от одной или нескольких третьих сторон и уже приложили все усилия, чтобы «доказать», что утечка реальна и в масштабе утверждал.

Действительно, скриншот сообщения, который мы видели, даже не упоминал об удалении данных, если Twitter заплатит (поскольку вы все равно можете доверять мошенникам, чтобы удалить его).

Плакат обещал только то, что «Я удалю эту тему [на веб-форуме] и больше не буду продавать эти данные».

Что делать?

Twitter не собирается платить, не в последнюю очередь потому, что в этом мало смысла, учитывая, что любые взломанные данные, по-видимому, были украдены год или больше назад, поэтому они могут быть (и, вероятно, находятся) в руках множества различных кибер-мошенников.

Итак, наш немедленный совет:

• Будьте в курсе электронных писем, которые вы, возможно, раньше не считали мошенническими. Если у вас сложилось впечатление, что связь между вашим никнеймом в Твиттере и вашим адресом электронной почты малоизвестна, и, следовательно, письма, точно идентифицирующие ваше имя в Твиттере, вряд ли поступают из ненадежных источников… больше так не делайте!
• Если вы используете свой номер телефона для двухфакторной аутентификации в Твиттере, имейте в виду, что вы можете стать жертвой подмены SIM-карты. Вот где мошенник, который уже знает ваш пароль от Твиттера, получает выпущена новая сим-карта с вашим номером на нем, таким образом получая мгновенный доступ к вашим кодам 2FA. Рассмотрите возможность переключения своей учетной записи Twitter на систему 2FA, которая не зависит от вашего номера телефона, например, вместо этого используйте приложение для проверки подлинности.
• Рассмотрите возможность полного отказа от двухфакторной аутентификации на основе телефона. Подобные взломы — даже если реальное количество пользователей намного меньше 400 миллионов — являются хорошим напоминанием о том, что даже если у вас есть частный номер телефона, который вы используете для 2FA, киберпреступники на удивление часто могут подключить ваш номер телефона к определенному онлайн-аккаунты, защищенные этим номером.

---