Dữ liệu Twitter của “+400 triệu người dùng duy nhất” được rao bán – phải làm gì?

Nóng trên gót của Câu chuyện vi phạm dữ liệu LastPass, lần đầu tiên được đưa ra ánh sáng vào tháng 2022 năm XNUMX, xuất hiện tin tức về một vụ vi phạm Twitter, dường như dựa trên một lỗi Twitter lần đầu tiên xuất hiện trở lại trong cùng tháng.

Theo ảnh chụp màn hình đăng bởi trang tin tức Bleeping Computer, một tội phạm mạng đã quảng cáo:

Tôi đang bán dữ liệu của hơn 400 triệu người dùng Twitter duy nhất đã bị loại bỏ do lỗ hổng, dữ liệu này hoàn toàn riêng tư.

Và nó bao gồm email và số điện thoại của những người nổi tiếng, chính trị gia, công ty, người dùng bình thường và rất nhiều OG và tên người dùng đặc biệt.

OG, trong trường hợp bạn không quen với thuật ngữ đó trong ngữ cảnh của các tài khoản truyền thông xã hội, là viết tắt của gangsta ban đầu.,

Đó là một phép ẩn dụ (nó đã trở thành xu hướng chủ đạo, vì tất cả những gì nó hơi xúc phạm) đối với bất kỳ tài khoản mạng xã hội hoặc số nhận dạng trực tuyến nào có tên ngắn gọn và vui nhộn đến mức nó phải được chộp lấy từ rất sớm, khi dịch vụ liên quan đến nó còn mới tinh và hoi thăm dò vẫn chưa đổ xô tham gia.

Có khóa riêng cho khối Bitcoin 0, cái gọi là Khối Genesis (bởi vì nó được tạo ra, không phải khai thác), có lẽ sẽ là thứ OG nhất trong thế giới ảo; sở hữu một tay cầm Twitter chẳng hạn như @jack hoặc bất kỳ tên hoặc cụm từ ngắn, nổi tiếng nào, không hoàn toàn thú vị, nhưng chắc chắn được tìm kiếm và có tiềm năng khá có giá trị.

Có gì để bán?

Không giống như vụ vi phạm LastPass, không có dữ liệu nào liên quan đến mật khẩu, danh sách các trang web bạn sử dụng hoặc địa chỉ nhà dường như gặp rủi ro lần này.

Mặc dù những kẻ lừa đảo đằng sau vụ bán tháo dữ liệu này đã viết rằng thông tin “bao gồm email và số điện thoại”, có vẻ như đó là dữ liệu thực sự riêng tư duy nhất trong kết xuất, với điều kiện là dữ liệu đó dường như đã được mua lại vào năm 2021, bằng cách sử dụng một dễ bị tổn thương mà Twitter cho biết nó đã được sửa vào tháng 2022 năm XNUMX.

Lỗ hổng đó là do Twitter API (giao diện lập trình ứng dụng, biệt ngữ cho “một cách chính thức, có cấu trúc để thực hiện truy vấn từ xa nhằm truy cập dữ liệu cụ thể hoặc thực hiện các lệnh cụ thể”) cho phép bạn tra cứu địa chỉ email hoặc số điện thoại và nhận lại câu trả lời không chỉ cho biết đó có phải là đang được sử dụng, mà còn, nếu có, là tên của tài khoản được liên kết với nó.

Nguy cơ rõ ràng ngay lập tức của một sai lầm như thế này là kẻ theo dõi, được trang bị số điện thoại hoặc địa chỉ email của ai đó – các điểm dữ liệu thường được công khai có chủ đích – có khả năng liên kết cá nhân đó trở lại với một tài khoản Twitter giả ẩn danh, một kết quả mà chắc chắn là không thể.

Mặc dù lỗ hổng này đã được vá vào tháng 2022 năm 2022, Twitter chỉ công bố nó vào tháng XNUMX năm XNUMX, tuyên bố rằng báo cáo lỗi ban đầu là một tiết lộ có trách nhiệm được gửi qua hệ thống tiền thưởng lỗi của mình.

Điều này có nghĩa là (giả sử rằng những kẻ săn tiền thưởng đã gửi nó thực sự là những người đầu tiên tìm thấy nó và họ chưa bao giờ nói với bất kỳ ai khác) rằng nó không được coi là lỗ hổng bảo mật và do đó, việc vá nó sẽ chủ động ngăn chặn lỗ hổng bảo mật khỏi đang bị bóc lột.

Tuy nhiên, vào giữa năm 2022, Twitter tìm ra nếu không thì:

Vào tháng 2022 năm XNUMX, [Twitter] thông qua một báo cáo đưa tin rằng ai đó có khả năng đã lợi dụng điều này và đang đề nghị bán thông tin mà họ đã tổng hợp. Sau khi xem xét một mẫu dữ liệu có sẵn để bán, chúng tôi xác nhận rằng một kẻ xấu đã lợi dụng vấn đề này trước khi vấn đề được giải quyết.

Một lỗi được khai thác rộng rãi

Chà, bây giờ có vẻ như lỗi này có thể đã bị khai thác rộng rãi hơn so với lần đầu tiên nó xuất hiện, nếu thực sự những kẻ lừa đảo bán dữ liệu hiện tại đang nói sự thật về việc có quyền truy cập vào hơn 400 triệu tài khoản Twitter đã bị loại bỏ.

Như bạn có thể tưởng tượng, một lỗ hổng cho phép bọn tội phạm tra cứu số điện thoại đã biết của các cá nhân cụ thể cho các mục đích bất chính, chẳng hạn như quấy rối hoặc theo dõi, cũng có khả năng cho phép kẻ tấn công tra cứu các số điện thoại không xác định, có lẽ chỉ đơn giản bằng cách tạo danh sách mở rộng nhưng có khả năng xảy ra. dựa trên các dải số được biết là đang được sử dụng, cho dù những số đó đã từng được cấp hay chưa.

Bạn có thể mong đợi một API chẳng hạn như API được cho là đã sử dụng ở đây để bao gồm một số loại giới hạn tỷ lệ, ví dụ như nhằm mục đích giảm số lượng truy vấn được phép từ một máy tính trong bất kỳ khoảng thời gian nhất định nào, để việc sử dụng API hợp lý sẽ không bị cản trở, nhưng việc sử dụng quá mức và do đó có thể là lạm dụng sẽ bị hạn chế.

Tuy nhiên, có hai vấn đề với giả định đó.

Đầu tiên, API không được phép tiết lộ thông tin mà nó đã làm ngay từ đầu.

Do đó, thật hợp lý khi nghĩ rằng giới hạn tốc độ, nếu thực sự có, sẽ không hoạt động chính xác, vì những kẻ tấn công đã tìm thấy đường dẫn truy cập dữ liệu dù sao cũng không được kiểm tra đúng cách.

Thứ hai, những kẻ tấn công có quyền truy cập vào mạng botnet hoặc mạng thây ma, các máy tính bị nhiễm phần mềm độc hại có thể đã sử dụng hàng nghìn, thậm chí hàng triệu máy tính trông có vẻ vô tội của người khác, trải rộng khắp thế giới, để thực hiện công việc bẩn thỉu của họ.

Điều này sẽ cung cấp cho họ đủ điều kiện để thu thập dữ liệu theo đợt, do đó vượt qua bất kỳ giới hạn tốc độ nào bằng cách thực hiện một số lượng yêu cầu vừa phải, mỗi yêu cầu từ nhiều máy tính khác nhau, thay vì có một số lượng nhỏ máy tính, mỗi máy tính thực hiện quá nhiều yêu cầu.

Những gì đã làm những kẻ lừa đảo đã nắm giữ của?

Tóm lại: chúng tôi không biết có bao nhiêu trong số “400 triệu” tài khoản Twitter đó:

• Chính hãng đang sử dụng. Chúng tôi có thể giả định rằng có rất nhiều tài khoản bị đóng trong danh sách và có lẽ những tài khoản thậm chí chưa từng tồn tại nhưng đã bị đưa nhầm vào cuộc khảo sát bất hợp pháp của tội phạm mạng. (Khi bạn đang sử dụng đường dẫn trái phép vào cơ sở dữ liệu, bạn không bao giờ có thể chắc chắn kết quả của mình sẽ chính xác đến mức nào hoặc mức độ tin cậy mà bạn có thể phát hiện ra rằng việc tra cứu không thành công.)
• Chưa kết nối công khai với email và số điện thoại. Một số người dùng Twitter, đặc biệt là những người quảng cáo dịch vụ hoặc doanh nghiệp của họ, sẵn sàng cho phép người khác kết nối địa chỉ email, số điện thoại và tên miền Twitter của họ.
• Tài khoản không hoạt động. Điều đó không loại bỏ nguy cơ kết nối các tài khoản Twitter đó với email và số điện thoại, nhưng có khả năng có một loạt tài khoản trong danh sách sẽ không có nhiều hoặc thậm chí không có giá trị đối với tội phạm mạng khác đối với bất kỳ loại lừa đảo lừa đảo có chủ đích.
• Đã bị xâm phạm thông qua các nguồn khác. Chúng tôi thường xuyên thấy danh sách dữ liệu khổng lồ “bị đánh cắp từ X” được rao bán trên web tối, ngay cả khi dịch vụ X không có vi phạm hoặc lỗ hổng gần đây, vì dữ liệu đó đã bị đánh cắp trước đó từ một nơi khác.

Tuy nhiên, tờ Guardian ở Anh báo cáo rằng một mẫu dữ liệu, đã bị kẻ gian rò rỉ như một loại “thợ nếm thử”, gợi ý mạnh mẽ rằng ít nhất một phần của cơ sở dữ liệu nhiều triệu bản ghi được bán bao gồm dữ liệu hợp lệ, chưa từng bị rò rỉ trước đó, phải không? 'không được công khai và gần như chắc chắn đã được trích xuất từ ​​​​Twitter.

Nói một cách đơn giản, Twitter có rất nhiều điều cần giải thích và người dùng Twitter ở khắp mọi nơi có thể sẽ hỏi, "Điều này có nghĩa là gì và tôi nên làm gì?"

Nó có giá trị gì?

Rõ ràng, bản thân những kẻ lừa đảo dường như đã đánh giá các mục nhập trong cơ sở dữ liệu bị đánh cắp của chúng là có ít giá trị cá nhân, điều này cho thấy rằng chúng không thấy rủi ro cá nhân khi dữ liệu của bạn bị rò rỉ theo cách này quá cao.

Rõ ràng là họ đang yêu cầu 200,000 đô la Mỹ cho lô hàng bán một lần cho một người mua duy nhất, với giá 1/20 xu Mỹ cho mỗi người dùng.

Hoặc họ sẽ lấy 60,000 đô la từ một hoặc nhiều người mua (gần 7000 tài khoản trên mỗi đô la) nếu không ai trả giá “độc quyền”.

Trớ trêu thay, mục đích chính của kẻ lừa đảo dường như là tống tiền Twitter, hoặc ít nhất là làm bẽ mặt công ty, tuyên bố rằng:

Twitter và Elon Musk… lựa chọn tốt nhất của bạn để tránh phải trả 276 triệu USD tiền phạt vi phạm GDPR… là mua độc quyền dữ liệu này.

Nhưng bây giờ con mèo đã ra khỏi túi, vì dù sao thì vi phạm đã được công bố và công khai, thật khó để tưởng tượng việc thanh toán vào thời điểm này sẽ khiến Twitter tuân thủ GDPR như thế nào.

Xét cho cùng, những kẻ lừa đảo rõ ràng đã có dữ liệu này được một thời gian rồi, dù sao cũng có thể đã lấy được dữ liệu đó từ một hoặc nhiều bên thứ ba và đã cố gắng “chứng minh” rằng vi phạm là có thật và ở quy mô lớn tuyên bố.

Thật vậy, ảnh chụp màn hình tin nhắn mà chúng tôi thấy thậm chí không đề cập đến việc xóa dữ liệu nếu Twitter trả tiền (vì bạn có thể tin tưởng rằng kẻ gian sẽ xóa dữ liệu đó).

Người đăng chỉ hứa rằng “Tôi sẽ xóa chủ đề này [trên diễn đàn web] và không bán dữ liệu này nữa.”

Phải làm gì?

Twitter sẽ không trả tiền, đặc biệt là vì có rất ít điểm, vì bất kỳ dữ liệu bị vi phạm nào rõ ràng đã bị đánh cắp từ một năm trước trở lên, vì vậy hiện tại nó có thể (và có thể là) nằm trong tay của nhiều kẻ lừa đảo trên mạng khác nhau.

Vì vậy, lời khuyên ngay lập tức của chúng tôi là:

• Hãy nhận biết các email mà trước đây bạn có thể không nghĩ rằng có khả năng là lừa đảo. Nếu bạn có ấn tượng rằng liên kết giữa địa chỉ Twitter và địa chỉ email của bạn không được nhiều người biết đến và do đó, những email xác định chính xác tên Twitter của bạn khó có thể đến từ các nguồn không đáng tin cậy… thì đừng làm như vậy nữa!
• Nếu bạn sử dụng số điện thoại của mình cho 2FA trên Twitter, hãy lưu ý rằng bạn có thể là mục tiêu của việc hoán đổi SIM. Đó là nơi kẻ lừa đảo đã biết mật khẩu Twitter của bạn nhận được thẻ SIM mới được phát hành với số của bạn trên đó, do đó có quyền truy cập ngay vào mã 2FA của bạn. Cân nhắc chuyển tài khoản Twitter của bạn sang hệ thống 2FA không phụ thuộc vào số điện thoại của bạn, chẳng hạn như sử dụng ứng dụng xác thực để thay thế.
• Cân nhắc bỏ hoàn toàn 2FA dựa trên điện thoại. Những vi phạm như thế này – ngay cả khi tổng số thực tế thấp hơn 400 triệu người dùng – là một lời nhắc tốt rằng ngay cả khi bạn có số điện thoại riêng mà bạn sử dụng cho 2FA, thì việc kẻ gian mạng có thể kết nối số điện thoại của bạn với một số cụ thể là điều đáng ngạc nhiên. tài khoản trực tuyến được bảo vệ bởi số đó.

---