Het på hälen på LastPass-sagan om dataintrång, som först kom i dagen i augusti 2022, kommer nyheter om ett Twitter-intrång, uppenbarligen baserat på en Twitter-bugg som först skapade rubriker redan samma månad.
Enligt en skärmdump posted av nyhetssajten Bleeping Computer har en cyberkriminell annonserat:
Jag säljer data om +400 miljoner unika Twitter-användare som skrapats via en sårbarhet, denna data är helt privat.
Och det inkluderar e-post och telefonnummer till kändisar, politiker, företag, normala användare och en massa OG och speciella användarnamn.
OG, om du inte är bekant med den termen i samband med konton i sociala medier, är en förkortning för original gangster.,
Det är en metafor (det har blivit mainstream, trots allt att det är något stötande) för alla sociala medier-konton eller online-identifierare med ett så kort och funky namn att det måste ha tagits upp tidigt, när tjänsten den hänför sig till var helt ny och hoi polloi hade ännu inte strömmat till för att vara med.
Att ha den privata nyckeln för Bitcoin block 0, den sk Genesis-blocket (eftersom det skapades, inte utvunnits), skulle kanske vara det mest OG i cyberland; äga ett Twitter-handtag som t.ex @jack eller vilket kort, välkänt namn eller fras som helst, är inte riktigt lika coolt, men definitivt eftertraktat och potentiellt ganska värdefullt.
Vad finns till salu?
Till skillnad från LastPass-intrånget verkar inga lösenordsrelaterade data, listor över webbplatser du använder eller hemadresser vara i riskzonen den här gången.
Även om skurkarna bakom denna dataförsäljning skrev att informationen "inkluderar e-post och telefonnummer", verkar det troligt att det är den enda verkligt privata informationen i soptippen, med tanke på att den verkar ha inhämtats redan 2021, med hjälp av en sårbarhet att Twitter säger att det åtgärdades i januari 2022.
Det felet orsakades av ett Twitter API (applikationsprogrammeringsgränssnitt, jargong för "ett officiellt, strukturerat sätt att göra fjärrförfrågningar för att komma åt specifik data eller utföra specifika kommandon") som låter dig slå upp en e-postadress eller ett telefonnummer och få tillbaka ett svar som inte bara angav om det var används, men också, om så var, hanteringen av kontot som är kopplat till det.
Den omedelbart uppenbara risken för en blunder som denna är att en stalker, beväpnad med någons telefonnummer eller e-postadress – datapunkter som ofta offentliggörs med avsikt – potentiellt kan länka den personen tillbaka till ett pseudo-anonymt Twitter-handtag, ett resultat som skulle definitivt inte vara möjligt.
Även om det här kryphålet åtgärdades i januari 2022, meddelade Twitter det offentligt först i augusti 2022, och hävdade att den första felrapporten var ett ansvarsfullt avslöjande som skickats in via dess bug-bounty-system.
Detta betyder (förutsatt att prisjägarna som skickade in det verkligen var de första som hittade det, och att de aldrig berättade för någon annan) att det inte behandlades som en noll-dag, och att en lappning av den proaktivt skulle förhindra sårbarheten från utnyttjas.
I mitten av 2022 dock Twitter upptäckte annat:
I juli 2022 fick [Twitter] veta genom en pressrapport att någon potentiellt hade utnyttjat detta och erbjöd sig att sälja informationen de hade sammanställt. Efter att ha granskat ett urval av tillgängliga data för försäljning bekräftade vi att en dålig aktör hade utnyttjat problemet innan det åtgärdades.
En brett utnyttjad bugg
Tja, det ser nu ut som om den här buggen kan ha utnyttjats mer brett än den först såg ut, om de nuvarande skurkarna verkligen talar sanning om att ha tillgång till mer än 400 miljoner skrapade Twitter-handtag.
Som du kan föreställa dig, kommer en sårbarhet som låter brottslingar söka upp kända telefonnummer till specifika individer för skändliga syften, såsom trakasserier eller förföljelse, sannolikt också att tillåta angripare att leta upp okända telefonnummer, kanske helt enkelt genom att generera omfattande men troliga listor baserat på nummerintervall som är kända för att vara i bruk, oavsett om dessa nummer någonsin faktiskt har utfärdats eller inte.
Du förväntar dig förmodligen att ett API som det som påstås ha använts här skulle inkludera något slags hastighetsbegränsande, till exempel syftar till att minska antalet förfrågningar som tillåts från en dator under en viss tidsperiod, så att rimlig användning av API:et inte skulle hindras, utan överdriven och därför troligen missbrukande användning skulle begränsas.
Det finns dock två problem med det antagandet.
För det första, API var inte tänkt att avslöja informationen som det gjorde från första början.
Därför är det rimligt att tro att hastighetsbegränsning, om det faktiskt fanns några, inte skulle ha fungerat korrekt, eftersom angriparna redan hade hittat en dataåtkomstväg som ändå inte kontrollerades ordentligt.
För det andra, angripare med tillgång till ett botnät, eller zombie nätverk, av malware-infekterade datorer kunde ha använt tusentals, kanske till och med miljoner, av andra människors oskyldigt utseende datorer, spridda över hela världen, för att göra sitt smutsiga arbete.
Detta skulle ge dem möjlighet att samla in data i omgångar, och därmed kringgå alla hastighetsbegränsningar genom att göra ett blygsamt antal förfrågningar var och en från massor av olika datorer, istället för att ha ett litet antal datorer var och en som gör ett överdrivet antal förfrågningar.
Vad fick skurkarna tag i?
Sammanfattningsvis: vi vet inte hur många av dessa "+400 miljoner" Twitter-handtag är:
- Används verkligen. Vi kan anta att det finns gott om slutna konton i listan, och kanske konton som aldrig ens funnits, men som felaktigt inkluderades i cyberbrottslingarnas olagliga undersökning. (När du använder en obehörig sökväg till en databas kan du aldrig vara helt säker på hur exakta dina resultat kommer att bli, eller hur tillförlitligt du kan upptäcka att en uppslagning misslyckades.)
- Inte redan offentligt kopplad till e-post och telefonnummer. Vissa Twitter-användare, särskilt de som marknadsför deras tjänster eller deras verksamhet, tillåter gärna andra att koppla sin e-postadress, telefonnummer och Twitter-handtag.
- Inaktiva konton. Det eliminerar inte risken att koppla ihop dessa Twitter-handtag med e-post och telefonnummer, men det kommer sannolikt att finnas ett gäng konton i listan som inte kommer att vara av mycket, eller ens något, värde för andra cyberbrottslingar. typ av riktat nätfiskebedrägeri.
- Redan komprometterad via andra källor. Vi ser regelbundet enorma listor över data "stulna från X" till försäljning på den mörka webben, även när tjänsten X inte har haft ett nyligen intrång eller sårbarhet, eftersom denna data hade stulits tidigare från någon annanstans.
Ändå tidningen Guardian i Storbritannien rapporter att ett urval av data, som redan läckt ut av skurkarna som ett slags "provare", tyder starkt på att åtminstone en del av databasen med flera miljoner rekord till försäljning består av giltiga data, inte har läckt tidigare, Det var inte tänkt att vara offentligt och nästan säkert extraherades från Twitter.
Enkelt uttryckt, Twitter har mycket att förklara, och Twitter-användare överallt kommer sannolikt att fråga: "Vad betyder det här och vad ska jag göra?"
Vad är det värt?
Tydligen tycks skurkarna själva ha bedömt posterna i sin slingrade databas som att de har litet individuellt värde, vilket tyder på att de inte ser den personliga risken med att få din data läckt på detta sätt som fruktansvärt hög.
De ber tydligen $200,000 1 för partiet för en engångsförsäljning till en enda köpare, vilket kommer ut på 20/XNUMX av en cent per användare.
Eller så kommer de att ta $60,000 7000 från en eller flera köpare (nära XNUMX konton per dollar) om ingen betalar det "exklusiva" priset.
Ironiskt nog verkar skurkarnas huvudsakliga syfte vara att utpressa Twitter, eller åtminstone att genera företaget och hävda att:
Twitter och Elon Musk... ditt bästa alternativ för att undvika att betala 276 miljoner USD i böter för brott mot GDPR... är att köpa denna data exklusivt.
Men nu när katten är ute ur påsen, med tanke på att intrånget har tillkännagetts och publicerats ändå, är det svårt att föreställa sig hur en betalning vid denna tidpunkt skulle göra Twitter GDPR-kompatibel.
När allt kommer omkring har skurkarna uppenbarligen haft dessa uppgifter under en tid redan, kan mycket väl ha skaffat dem från en eller flera tredje parter i alla fall, och har redan gjort sitt yttersta för att "bevisa" att intrånget är verkligt, och i den skala hävdade.
Faktum är att meddelandets skärmdump som vi såg nämnde inte ens radering av data om Twitter skulle betala (eftersom du kunde lita på att skurkarna skulle ta bort det ändå).
Affischen lovade bara det "Jag kommer att ta bort den här tråden [på webbforumet] och inte sälja denna information igen."
Vad göra?
Twitter kommer inte att betala, inte minst för att det är lite meningsfullt, med tanke på att all dataintrång uppenbarligen stals för ett år eller mer sedan, så det kan vara (och förmodligen är) i händerna på många olika cyberbedragare vid det här laget.
Så vårt omedelbara råd är:
- Var medveten om e-postmeddelanden som du kanske inte tidigare trodde skulle vara bedrägerier. Om du hade intrycket att länken mellan ditt Twitter-handtag och din e-postadress inte var allmänt känd, och därför att e-postmeddelanden som exakt identifierade ditt Twitter-namn sannolikt inte skulle komma från otillförlitliga källor... gör inte det längre!
- Om du använder ditt telefonnummer för 2FA på Twitter, var medveten om att du kan vara ett mål för SIM-byte. Det är där en skurk som redan kan ditt Twitter-lösenord får ett nytt SIM-kort utfärdat med ditt nummer på, så att du får omedelbar tillgång till dina 2FA-koder. Överväg att byta ditt Twitter-konto till ett 2FA-system som inte beror på ditt telefonnummer, till exempel att använda en autentiseringsapp istället.
- Överväg att lägga ner telefonbaserad 2FA helt och hållet. Intrång som denna – även om den verkliga summan är långt under 400 miljoner användare – är en bra påminnelse om att även om du har ett privat telefonnummer som du använder för 2FA, är det förvånansvärt vanligt att cyberskurkar kan koppla ditt telefonnummer till specifika onlinekonton som skyddas av det numret.
- blockchain
- brott
- coingenius
- cryptocurrency plånböcker
- kryptoväxling
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- dataförlust
- säkerhetstjänsten
- digitala plånböcker
- utpressning
- brandvägg
- kaspersky
- malware
- Mcafee
- Naken säkerhet
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- VPN
- webbplats säkerhet
- zephyrnet
![S3 Ep92: Log4Shell4Ever, resetips och bluff [Ljud + text] PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/ns-s3-ep92-1200-300x156.jpg "S3 Ep92: Log4Shell4Ever, resetips och bluff [Ljud + text]")
![S3 Ep112: Dataintrång kan förfölja dig mer än en gång! [Ljud + text] PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/goner-1-360x198.png "S3 Ep112: Dataintrång kan förfölja dig mer än en gång! [Ljud + text]")