紧随其后 LastPass 数据泄露事件于 2022 年 XNUMX 月首次曝光的 Twitter 漏洞消息传来,显然是基于 Twitter 漏洞,该漏洞在同一个月首次成为头条新闻。
根据截图 发布 通过新闻网站 Bleeping Computer,一名网络罪犯发布了广告:
我正在出售通过漏洞抓取的超过 400 亿独特 Twitter 用户的数据,这些数据是完全私有的。
它包括名人、政客、公司、普通用户的电子邮件和电话号码,以及大量 OG 和特殊用户名。
OG,以防您在社交媒体帐户的上下文中不熟悉该术语,它是 原来的黑帮.,
这是一个隐喻(它已经成为主流,尽管它有点令人反感)任何社交媒体帐户或在线标识符具有如此简短和时髦的名称,以至于它必须在早期被抢购一空,回到它相关的服务是全新的和 海波洛伊 还没有蜂拥而至加入。
拥有比特币区块 0 的私钥,即所谓的 创世块 (因为它是被创造出来的,而不是被开采出来的),这可能是网络世界中最 OG 的东西; 拥有 Twitter 句柄,例如 @jack 或任何简短的、众所周知的名字或短语,虽然不那么酷,但肯定很受欢迎,而且可能很有价值。
有什么好卖的?
与 LastPass 漏洞不同,这次似乎没有与密码相关的数据、您使用的网站列表或家庭住址处于危险之中。
尽管这种数据抛售背后的骗子写道,信息 “包括电子邮件和电话号码”,这似乎是转储中唯一真正私有的数据,因为它似乎是在 2021 年使用 漏洞 Twitter 表示它已于 2022 年 XNUMX 月修复。
该缺陷是由 Twitter API (应用程序接口,“一种官方的、结构化的远程查询以访问特定数据或执行特定命令的方式”的行话),它允许您查找电子邮件地址或电话号码,并得到一个回复,不仅表明它是否是在使用中,而且,如果是的话,还有与其关联的帐户的句柄。
像这样的错误的直接明显风险是,一个跟踪者,拥有某人的电话号码或电子邮件地址——通常是故意公开的数据点——可能会将那个人链接回一个伪匿名的 Twitter 句柄,结果是绝对不应该是可能的。
尽管这个漏洞在 2022 年 2022 月得到了修补,但 Twitter 直到 XNUMX 年 XNUMX 月才公开宣布,声称最初的漏洞报告是通过其漏洞赏金系统提交的负责任的披露。
这意味着(假设提交它的赏金猎人确实是第一个找到它的人,并且他们从未告诉任何其他人)它没有被视为零日漏洞,因此修补它会主动防止漏洞被剥削。
然而,在 2022 年年中,推特 发现 除此以外:
2022 年 XNUMX 月,[Twitter] 通过一份新闻报道得知有人可能利用了这一点,并提出出售他们收集的信息。 在审查了可供出售的数据样本后,我们确认有不良行为者在问题得到解决之前利用了该问题。
一个被广泛利用的漏洞
好吧,现在看来这个漏洞可能比它最初出现时更广泛地被利用了,如果当前的数据兜售骗子确实说的是关于可以访问超过 400 亿个被抓取的 Twitter 句柄的真相的话。
正如您可以想象的那样,一个允许犯罪分子出于恶意目的(例如骚扰或跟踪)查找特定个人的已知电话号码的漏洞也可能允许攻击者查找未知电话号码,可能只是通过生成广泛但可能的列表基于已知正在使用的号码范围,无论这些号码是否实际发布过。
您可能期望 API(例如据称在此处使用的 API)包含某种类型的 限速,例如旨在减少在任何给定时间段内允许从一台计算机进行的查询数量,以便 API 的合理使用不会受到阻碍,但会减少过度使用,因此可能会被滥用。
但是,该假设存在两个问题。
首先,API 最初不应该泄露它所做的信息。
因此,有理由认为速率限制(如果确实存在)不会正常工作,因为攻击者已经找到了一条数据访问路径,但无论如何都没有被正确检查。
其次,攻击者可以访问僵尸网络,或者 僵尸网络, 感染恶意软件的计算机可能已经使用了成千上万,甚至数百万,其他人看起来无辜的计算机,这些计算机遍布世界各地,来做他们肮脏的工作。
这将为他们提供分批收集数据的必要条件,从而通过从许多不同的计算机中每台发出适度数量的请求来回避任何速率限制,而不是让少数计算机每台发出过多的请求。
骗子得到了什么?
总结一下:我们不知道这些“+400 亿”推特用户中有多少是:
- 真正在用。 我们可以假设列表中有很多被关闭的账户,甚至可能根本不存在,但被错误地包含在网络犯罪分子的非法调查中的账户。 (当您使用未经授权的数据库路径时,您永远无法确定结果的准确性,或者检测到查找失败的可靠性。)
- 尚未与电子邮件和电话号码公开关联。 一些 Twitter 用户,特别是那些宣传他们的服务或业务的用户,愿意让其他人连接他们的电子邮件地址、电话号码和 Twitter 用户名。
- 不活跃的账户。 这并不能消除将这些 Twitter 句柄与电子邮件和电话号码联系起来的风险,但列表中可能有一堆帐户对其他网络犯罪分子来说没有多大价值,甚至没有任何价值一种有针对性的网络钓鱼诈骗。
- 已经通过其他来源受到损害。 我们经常看到大量“从 X 窃取”的数据列表在暗网上出售,即使服务 X 最近没有违规或漏洞,因为该数据早些时候从其他地方被盗。
尽管如此,英国卫报 报告 数据样本,已经被骗子作为一种“品尝者”泄露,确实强烈表明,至少部分出售的数百万条记录数据库包含有效数据,之前没有泄露过,是' 应该是公开的,而且几乎可以肯定是从 Twitter 中提取的。
简而言之,Twitter 确实有很多解释要做,各地的 Twitter 用户都可能会问,“这是什么意思,我应该怎么做?”
值多少钱?
显然,骗子们自己似乎已经将他们窃取的数据库中的条目评估为几乎没有个人价值,这表明他们并不认为以这种方式泄露您的数据的个人风险非常高。
他们显然要价 200,000 美元,一次性出售给单个买家,每位用户的价格为 1/20 美分。
或者,如果没有人支付“独家”价格,他们将从一个或多个买家那里收取 60,000 美元(每美元将近 7000 个帐户)。
具有讽刺意味的是,骗子的主要目的似乎是勒索 Twitter,或者至少让公司难堪,声称:
Twitter 和 Elon Musk……避免支付 276 亿美元的 GDPR 违规罚款的最佳选择……是独家购买这些数据。
但现在事情已经暴露无遗,鉴于违规行为已经被宣布和公开,很难想象此时支付费用如何使 Twitter 符合 GDPR 标准。
毕竟,骗子显然已经拥有这些数据一段时间了,很可能是从一个或多个第三方那里获得的,并且已经竭尽全力“证明”违规行为是真实的,而且规模如此之大声称。
事实上,我们看到的消息屏幕截图甚至没有提到如果 Twitter 付钱就删除数据(因为你可以相信骗子无论如何都会删除它)。
海报只是承诺 “我会[在网络论坛上]删除这个帖子,不再出售这些数据。”
怎么办呢?
Twitter 不会付钱,尤其是因为没有什么意义,因为任何泄露的数据显然是在一年或更长时间前被盗的,所以现在它可能(而且可能)在许多不同的网络诈骗者手中。
因此,我们的直接建议是:
- 请注意您以前可能认为可能不是诈骗的电子邮件。 如果您的印象是您的 Twitter 句柄和您的电子邮件地址之间的链接并不广为人知,因此准确识别您的 Twitter 名称的电子邮件不太可能来自不受信任的来源……不要再这样做了!
- 如果您在 Twitter 上将您的电话号码用于 2FA,请注意您可能成为 SIM 交换的目标。 这就是已经知道您的 Twitter 密码的骗子获得 已发行新 SIM 卡 上面有您的号码,从而可以即时访问您的 2FA 代码。 考虑将您的 Twitter 帐户切换到不依赖于您的电话号码的 2FA 系统,例如改用身份验证器应用程序。
- 考虑完全放弃基于电话的 2FA。 像这样的违规行为——即使真正的总数远低于 400 亿用户——也是一个很好的提醒,即使你有一个用于 2FA 的私人电话号码,网络骗子能够将你的电话号码连接到特定的受该号码保护的在线帐户。
