Podatki Twitterja o "+400 milijonih edinstvenih uporabnikov" naprodaj - kaj storiti?

Vroče na petah Saga o kršitvi podatkov LastPass, ki je prvič prišla v javnost avgusta 2022, prihaja novica o vdoru v Twitter, ki očitno temelji na napaki v Twitterju, ki je prvič prišla na naslovnice v istem mesecu.

Glede na posnetek zaslona objavljene spletnega mesta z novicami Bleeping Computer je kibernetski kriminalec oglaševal:

Prodajam podatke +400 milijonov edinstvenih uporabnikov Twitterja, ki so bili postrgani zaradi ranljivosti, ti podatki so popolnoma zasebni.

Vključuje e-poštne naslove in telefonske številke znanih osebnosti, politikov, podjetij, običajnih uporabnikov ter veliko OG in posebnih uporabniških imen.

OG, če niste seznanjeni s tem izrazom v kontekstu računov družbenih medijev, je okrajšava za original gangsta.,

To je metafora (postala je običajna, kljub vsemu je nekoliko žaljiva) za kateri koli račun v družabnih omrežjih ali spletni identifikator s tako kratkim in smešnim imenom, da so ga zagotovo razgrabili že zgodaj, ko je bila storitev, na katero se nanaša, še povsem nova in hoi polloi se še niso zgrinjali, da bi se pridružili.

Imeti zasebni ključ za Bitcoin blok 0, tako imenovani Geneza blok (ker je bilo ustvarjeno, ne rudarjeno), bi bila morda najbolj OG stvar v kiberlandu; lastnik Twitterja, kot je npr @jack ali katero koli kratko, dobro znano ime ali besedno zvezo, ni tako kul, je pa vsekakor iskana in potencialno zelo dragocena.

Kaj je na prodaj?

Za razliko od kršitve LastPass se zdi, da tokrat niso ogroženi nobeni podatki, povezani z geslom, seznami spletnih mest, ki jih uporabljate, ali domači naslovi.

Čeprav so prevaranti za to razprodajo podatkov zapisali, da informacija "vključuje e-pošto in telefonske številke", se zdi verjetno, da so to edini resnično zasebni podatki v odlagališču, glede na to, da se zdi, da so bili pridobljeni leta 2021 z uporabo ranljivost za katerega Twitter pravi, da ga je popravil januarja 2022.

To napako je povzročil API za Twitter (vmesnik za programiranje aplikacij, žargon za »uraden, strukturiran način izvajanja oddaljenih poizvedb za dostop do določenih podatkov ali izvajanje določenih ukazov«), ki vam omogoča, da poiščete e-poštni naslov ali telefonsko številko in dobite nazaj odgovor, ki ne navaja le, ali je v uporabi, ampak tudi, če je bil, ročaj računa, povezanega z njim.

Takoj očitno tveganje za napako, kot je ta, je, da bi lahko zalezovalec, oborožen s telefonsko številko ali e-poštnim naslovom nekoga – podatkovnimi točkami, ki so pogosto namerno javno objavljene – tega posameznika povezal nazaj s psevdoanonimnim uporabnikom Twitterja, rezultat, ki vsekakor ne bi smelo biti mogoče.

Čeprav je bila ta vrzel zakrpana januarja 2022, jo je Twitter javno objavil šele avgusta 2022, pri čemer je trdil, da je bilo prvotno poročilo o napakah odgovorno razkritje, predloženo prek njegovega sistema nagrajevanja napak.

To pomeni (ob predpostavki, da so ga lovci na glave, ki so ga oddali, res prvi našli in da tega niso nikoli povedali nikomur drugemu), da ni bil obravnavan kot ničelni dan in bi tako popravek proaktivno preprečil ranljivost, izkoriščanje.

Sredi leta 2022 pa Twitter izvedel drugače:

Julija 2022 je [Twitter] prek poročila v tisku izvedel, da je nekdo to potencialno izkoristil in ponujal prodajo informacij, ki so jih zbrali. Po pregledu vzorca razpoložljivih podatkov za prodajo smo potrdili, da je slab akter izkoristil težavo, preden je bila obravnavana.

Široko izkoriščen hrošč

No, zdaj je videti, kot da je bila ta napaka morda izkoriščena širše, kot se je sprva zdelo, če trenutni prevaranti s podatki res govorijo resnico o tem, da imajo dostop do več kot 400 milijonov postrganih oznak Twitterja.

Kot si lahko predstavljate, bo ranljivost, ki kriminalcem omogoča iskanje po znanih telefonskih številkah določenih posameznikov za zlobne namene, kot sta nadlegovanje ali zalezovanje, verjetno tudi omogočila napadalcem, da poiščejo neznane telefonske številke, morda preprosto z ustvarjanjem obsežnih, a verjetnih seznamov. na podlagi številskih obsegov, za katere je znano, da so v uporabi, ne glede na to, ali so bile te številke kdaj dejansko izdane ali ne.

Verjetno bi pričakovali, da API, kot je tisti, ki je bil domnevno uporabljen tukaj, vključuje neke vrste omejevanje stopnje, namenjen na primer zmanjšanju dovoljenega števila poizvedb iz enega računalnika v katerem koli časovnem obdobju, tako da razumna uporaba API-ja ne bi bila ovirana, vendar bi bila prekomerna in zato verjetno zloraba omejena.

Vendar pa obstajata dve težavi s to predpostavko.

Prvič, API ne bi smel razkriti informacij, ki jih je na prvem mestu.

Zato je razumno misliti, da omejevanje hitrosti, če bi sploh obstajalo, ne bi delovalo pravilno, saj so napadalci že našli pot dostopa do podatkov, ki tako ali tako ni bila pravilno preverjena.

Drugič, napadalci z dostopom do botneta oz zombi omrežje, računalnikov, okuženih z zlonamerno programsko opremo, bi lahko za svoje umazano delo uporabili na tisoče, morda celo milijone na videz nedolžnih računalnikov drugih ljudi, ki so bili razširjeni po vsem svetu.

To bi jim dalo sredstva za zbiranje podatkov v serijah, s čimer bi se izognili kakršnim koli omejitvam hitrosti tako, da bi izdelali skromno število zahtev iz več različnih računalnikov, namesto da bi imeli majhno število računalnikov, od katerih bi vsak poslal pretirano število zahtev.

Česa so se sleparji dokopali?

Če povzamemo: ne vemo, koliko od teh »+400 milijonov« Twitterjevih ročk je:

• Resnično v uporabi. Predvidevamo lahko, da je na seznamu veliko zaprtih računov in morda računi, ki sploh nikoli niso obstajali, a so bili pomotoma vključeni v nezakonito raziskavo kibernetskih kriminalcev. (Ko uporabljate nepooblaščeno pot v bazo podatkov, nikoli ne morete biti povsem prepričani, kako natančni bodo vaši rezultati ali kako zanesljivo lahko zaznate, da iskanje ni uspelo.)
• Ni še javno povezan z e-pošto in telefonskimi številkami. Nekateri uporabniki Twitterja, zlasti tisti, ki promovirajo svoje storitve ali svoje podjetje, drugim ljudem rade volje dovolijo, da povežejo njihov e-poštni naslov, telefonsko številko in Twitterjevo ime.
• Neaktivni računi. To ne odpravlja tveganja povezovanja teh Twitterjevih ročajev z e-poštnimi naslovi in ​​telefonskimi številkami, vendar je verjetno, da bo na seznamu kup računov, ki za druge kibernetske kriminalce ne bodo imeli velike ali celo nobene vrednosti. nekakšna ciljna prevara z lažnim predstavljanjem.
• Že ogroženo prek drugih virov. Na temnem spletu redno vidimo ogromne sezname podatkov, ki so »ukradeni iz X« za prodajo, tudi če storitev X v zadnjem času ni imela kršitve ali ranljivosti, ker so bili ti podatki prej ukradeni od nekje drugje.

Kljub temu časnik Guardian v Veliki Britaniji Poročila da vzorec podatkov, ki so ga prevaranti že razkrili kot neke vrste »okuševalnik«, res močno nakazuje, da je vsaj del večmilijonske baze podatkov v prodaji sestavljen iz veljavnih podatkov, ki niso pricurljali prej, kajne ne bi smelo biti javno in je bilo skoraj zagotovo pridobljeno s Twitterja.

Preprosto povedano, Twitter ima veliko stvari za razložiti in uporabniki Twitterja povsod se bodo verjetno spraševali: "Kaj to pomeni in kaj naj storim?"

koliko je vredno

Očitno se zdi, da so prevaranti sami ocenili, da vnosi v njihovo ukradeno zbirko podatkov nimajo majhne individualne vrednosti, kar nakazuje, da se jim osebno tveganje, da bodo vaši podatki tako razkrili, ne zdi tako strašno veliko.

Očitno zahtevajo 200,000 $ za parcelo za enkratno prodajo enemu kupcu, kar pride na 1/20 centa ZDA na uporabnika.

Ali pa bodo vzeli 60,000 $ od enega ali več kupcev (blizu 7000 računov na dolar), če nihče ne plača "ekskluzivne" cene.

Ironično, zdi se, da je glavni namen prevarantov izsiljevanje Twitterja ali vsaj spravljanje podjetja v zadrego, češ da:

Twitter in Elon Musk ... vaša najboljša možnost, da se izognete plačilu 276 milijonov USD kazni za kršitev GDPR ... je, da kupite izključno te podatke.

Toda zdaj, ko je mačka iz vreče, glede na to, da je bila kršitev vseeno objavljena in objavljena, si je težko predstavljati, kako bi plačilo na tej točki naredilo Twitter skladen z GDPR.

Navsezadnje imajo prevaranti te podatke očitno že nekaj časa, morda so jih vseeno pridobili od ene ali več tretjih oseb in so se že potrudili, da bi "dokazali", da je kršitev resnična in v obsegu trdil.

Dejansko posnetek zaslona sporočila, ki smo ga videli, sploh ni omenil izbrisa podatkov, če bi Twitter plačal (ker bi vseeno lahko zaupali prevarantom, da jih bodo izbrisali).

Plakat je obljubljal samo to "Izbrisal bom to nit [na spletnem forumu] in teh podatkov ne bom več prodajal."

Kaj storiti?

Twitter ne bo plačal, nenazadnje zato, ker nima smisla, glede na to, da so bili kakršni koli vkršeni podatki očitno ukradeni pred enim letom ali več, tako da bi lahko bili (in verjetno so) do zdaj v rokah številnih različnih kibernetskih prevarantov.

Torej, naš takojšnji nasvet je:

• Bodite pozorni na e-poštna sporočila, za katera morda prej niste mislili, da so prevara. Če ste imeli vtis, da povezava med vašim Twitterjem in vašim e-poštnim naslovom ni splošno znana in da zato e-poštna sporočila, ki natančno identificirajo vaše ime na Twitterju, verjetno ne prihajajo iz virov, ki jim ne zaupate ... tega ne počnite več!
• Če uporabljate svojo telefonsko številko za 2FA na Twitterju, se zavedajte, da ste lahko tarča zamenjave kartice SIM. Tam pride goljuf, ki že pozna vaše geslo za Twitter izdana nova kartica SIM z vašo številko na njem in tako dobite takojšen dostop do vaših kod 2FA. Razmislite o preklopu vašega Twitter računa na sistem 2FA, ki ni odvisen od vaše telefonske številke, na primer z uporabo aplikacije za preverjanje pristnosti.
• Razmislite o popolni opustitvi 2FA, ki temelji na telefonu. Takšne kršitve – tudi če je dejansko skupno število precej pod 400 milijoni uporabnikov – so dober opomnik, da je tudi če imate zasebno telefonsko številko, ki jo uporabljate za 2FA, presenetljivo pogosto, da lahko kibernetski prevaranti vašo telefonsko številko povežejo z določenimi spletnih računov, zaščitenih s to številko.

---