Дані Twitter про «+400 мільйонів унікальних користувачів» виставлені на продаж – що робити?

Гаряча на п'ятах Сага про порушення даних LastPass, який вперше з’явився в серпні 2022 року, приходить новина про злом Twitter, очевидно, заснований на помилці Twitter, яка вперше потрапила в заголовки того ж місяця.

Згідно зі скріншотом розміщені на сайті новин Bleeping Computer кіберзлочинець оголосив:

Я продаю дані понад 400 мільйонів унікальних користувачів Twitter, зібрані через уразливість, ці дані повністю приватні.

Він містить електронні адреси та номери телефонів знаменитостей, політиків, компаній, звичайних користувачів, а також багато OG та спеціальних імен користувачів.

OG, якщо ви не знайомі з цим терміном у контексті облікових записів соціальних мереж, це скорочення від оригінальний гангстер.,

Це метафора (вона стала мейнстрімом, незважаючи на все це дещо образливо) для будь-якого облікового запису в соціальних мережах або онлайн-ідентифікатора з таким коротким і смішним ім’ям, що його, мабуть, розхопили рано, ще тоді, коли служба, до якої він відноситься, була абсолютно новою і hoi polloi ще не зібралися, щоб приєднатися.

Наявність закритого ключа для блоку 0 біткоіни, т.зв Блок генезису (оскільки він був створений, а не видобутий), був би, мабуть, найбільш OG річчю в кіберкраїні; володіти ручкою Twitter, наприклад @jack або будь-яке коротке, добре відоме ім’я чи фраза, не дуже крута, але, безперечно, затребувана та потенційно досить цінна.

Що продається?

На відміну від зламу LastPass, цього разу, схоже, не загрожує жодним даним, пов’язаним з паролями, спискам веб-сайтів, якими ви користуєтеся, або домашнім адресам.

Хоча шахраї, які стоять за цією розпродажем даних, написали, що інформація «включає електронні адреси та номери телефонів», ймовірно, що це єдині дійсно приватні дані в дампі, враховуючи, що вони, здається, були отримані ще в 2021 році за допомогою вразливість яку, за словами Twitter, виправили ще в січні 2022 року.

Цю помилку спричинив API Twitter (інтерфейс програмування додатків, жаргон для «офіційного, структурованого способу створення віддалених запитів для доступу до певних даних або виконання певних команд»), який дозволить вам знайти адресу електронної пошти чи номер телефону та отримати відповідь, яка не лише вказуватиме, чи це було у використанні, але також, якщо він був, ідентифікатор облікового запису, пов’язаного з ним.

Негайно очевидний ризик подібної помилки полягає в тому, що сталкер, озброєний чийсь номер телефону чи адресу електронної пошти – дані, які часто навмисно оприлюднюються – може потенційно зв’язати цю особу назад із псевдоанонімним користувачем Twitter, результат, який точно не мало бути можливим.

Хоча цю лазівку було виправлено в січні 2022 року, Twitter оголосив про це публічно лише в серпні 2022 року, стверджуючи, що початковий звіт про помилку був відповідальним розкриттям інформації, поданим через його систему винагород за помилки.

Це означає (якщо припустити, що мисливці за головами, які надіслали його, справді першими знайшли його, і вони ніколи нікому не повідомляли), що він не розглядався як нульовий день, і, отже, його виправлення завчасно запобігає вразливості від експлуатується.

Однак у середині 2022 року Twitter дізнався інакше:

У липні 2022 року [Twitter] зі звіту преси дізнався, що хтось потенційно скористався цим і пропонував продати зібрану ним інформацію. Переглянувши вибірку доступних даних для продажу, ми підтвердили, що зловмисник скористався проблемою до її вирішення.

Широко використовувана помилка

Що ж, тепер виглядає так, ніби ця помилка могла бути використана ширше, ніж здавалося спочатку, якщо справді поточні шахраї, які займаються торгівлею даними, говорять правду про те, що вони мають доступ до понад 400 мільйонів дескрипторів Twitter.

Як ви можете собі уявити, уразливість, яка дозволяє зловмисникам шукати відомі номери телефонів конкретних осіб для нечесних цілей, таких як переслідування чи переслідування, ймовірно, також дозволить зловмисникам шукати невідомі номери телефонів, можливо, просто створюючи великі, але вірогідні списки на основі діапазонів номерів, які, як відомо, використовуються, незалежно від того, чи видавалися ці номери колись насправді чи ні.

Ви, напевно, очікуєте, що API, такий як той, який нібито використовувався тут, включатиме певний вид обмеження швидкості, наприклад, спрямований на зменшення кількості запитів, дозволених з одного комп’ютера в будь-який певний період часу, щоб розумне використання API не перешкоджало, але надмірне та, отже, ймовірне зловживання, було б обмежено.

Однак з цим припущенням виникають дві проблеми.

По-перше, API не повинен був розкривати інформацію, яку він робив спочатку.

Тому розумно вважати, що обмеження швидкості, якби воно було, не спрацювало б належним чином, оскільки зловмисники вже знайшли шлях доступу до даних, який все одно не перевірявся належним чином.

По-друге, зловмисники з доступом до ботнету, або мережа зомбі, заражених зловмисним програмним забезпеченням комп’ютерів могли використовувати тисячі, можливо, навіть мільйони безневинних на вигляд комп’ютерів інших людей, розкиданих по всьому світу, для виконання своєї брудної роботи.

Це дало б їм можливість збирати дані пакетами, таким чином обходячи будь-які обмеження швидкості, надсилаючи скромну кількість запитів з багатьох різних комп’ютерів, замість того, щоб мати невелику кількість комп’ютерів, кожен з яких надсилає надмірну кількість запитів.

До чого потрапили шахраї?

Підсумовуючи: ми не знаємо, скільки з цих «+400 мільйонів» дескрипторів Twitter:

• Справді у використанні. Ми можемо припустити, що в списку багато закритих облікових записів і, можливо, облікових записів, які ніколи навіть не існували, але були помилково включені в незаконне опитування кіберзлочинців. (Коли ви використовуєте неавторизований шлях до бази даних, ви ніколи не можете бути цілком впевнені, наскільки точними будуть ваші результати або наскільки надійно ви можете визначити, що пошук не вдався.)
• Ще не публічно пов’язані з електронними адресами та номерами телефонів. Деякі користувачі Twitter, особливо ті, хто рекламує свої послуги чи свій бізнес, охоче дозволяють іншим людям підключати свою електронну адресу, номер телефону та ідентифікатор Twitter.
• Неактивні облікові записи. Це не виключає ризику зв’язування цих облікових записів Twitter із електронними адресами та номерами телефонів, але в списку, швидше за все, буде купа облікових записів, які не будуть мати великої чи навіть жодної цінності для інших кіберзлочинців у будь-якому випадку. різновид цілеспрямованого фішингового шахрайства.
• Вже скомпрометовано через інші джерела. Ми регулярно бачимо величезні списки даних, «викрадених у X», які виставляються на продаж у дарк-мережі, навіть якщо в службі X нещодавно не було зламу чи вразливості, оскільки ці дані були викрадені раніше з іншого місця.

Тим не менш, газета Guardian у Великобританії звіти що зразок даних, який шахраї вже злили як свого роду «дегустатор», переконливо свідчить про те, що принаймні частина багатомільйонної бази даних, що продається, складається з дійсних даних, які раніше не були витоку, чи не не мав бути загальнодоступним і майже напевно був взятий із Twitter.

Простіше кажучи, Twitter дійсно має багато пояснень, і користувачі Twitter скрізь, швидше за все, запитають: «Що це означає і що мені робити?»

Що це коштує?

Очевидно, самі шахраї, схоже, оцінили записи в їхній викраденій базі даних як такі, що мають невелику індивідуальну цінність, що свідчить про те, що вони не бачать жахливо високого особистого ризику витоку ваших даних таким чином.

Вони, очевидно, просять 200,000 1 доларів США за лот для одноразового продажу одному покупцеві, що становить 20/XNUMX американського цента за користувача.

Або вони візьмуть $60,000 7000 від одного чи кількох покупців (близько XNUMX облікових записів за долар), якщо ніхто не заплатить «ексклюзивну» ціну.

За іронією долі, головною метою шахраїв є шантажувати Twitter або принаймні збентежити компанію, стверджуючи, що:

Twitter та Ілон Маск… ваш найкращий варіант уникнути сплати штрафів за порушення GDPR у розмірі 276 мільйонів доларів США… це придбати ці дані виключно.

Але тепер, коли кота витягли з мішка, враховуючи те, що про порушення було оголошено та оприлюднено, важко уявити, як оплата на цьому етапі зробить Twitter сумісним із GDPR.

Зрештою, шахраї, мабуть, уже деякий час володіють цими даними, можливо, все одно отримали їх від однієї чи кількох третіх сторін і вже зробили все можливе, щоб «довести», що злом реальний і в масштабі стверджував.

Дійсно, на скріншоті повідомлення, який ми бачили, навіть не згадувалося про видалення даних, якщо Twitter заплатить (оскільки ви все одно можете довіряти шахраям, щоб їх видалити).

Плакат обіцяв лише це «Я видалю цю тему [на веб-форумі] і більше не продам ці дані».

Що ж робити?

Twitter не збирається платити, не в останню чергу тому, що це мало сенсу, враховуючи, що будь-які зламані дані, очевидно, були вкрадені рік або більше тому, тому вони можуть бути (і, ймовірно, є) наразі в руках багатьох різних кібершахраїв.

Отже, наша безпосередня порада:

• Будьте уважні до електронних листів, які раніше, можливо, не вважали шахрайськими. Якщо у вас склалося враження, що зв’язок між вашим ідентифікатором Twitter і вашою адресою електронної пошти не був широко відомий, а отже, електронні листи, які точно ідентифікували ваше ім’я в Twitter, навряд чи надходять із ненадійних джерел… більше цього не робіть!
• Якщо ви використовуєте свій номер телефону для 2FA у Twitter, майте на увазі, що ви можете стати мішенню для заміни SIM-карти. Ось куди потрапляє шахрай, який уже знає ваш пароль у Twitter видана нова SIM-карта з вашим номером, таким чином отримуючи миттєвий доступ до ваших кодів 2FA. Подумайте про те, щоб перемкнути свій обліковий запис Twitter на систему 2FA, яка не залежить від вашого номера телефону, наприклад використовувати натомість програму автентифікації.
• Подумайте про повну відмову від 2FA на основі телефону. Подібні зломи – навіть якщо справжня загальна кількість користувачів набагато нижче 400 мільйонів – є хорошим нагадуванням про те, що навіть якщо у вас є приватний номер телефону, який ви використовуєте для 2FA, кібершахраї напрочуд часто можуть підключити ваш номер телефону до конкретного онлайн-акаунти, захищені цим номером.

---