Rosie Struve Getty Images
Po doniesieniach z końca 2022 r., że hakerzy sprzedawali skradzione dane 400 milionów użytkowników Twittera, badacze twierdzą teraz, że szeroko rozpowszechniony zbiór adresów e-mail powiązanych z około 200 milionami użytkowników prawdopodobnie będzie zredagowaną wersją większej kolekcji z usunięciem zduplikowanych wpisów. Sieć społecznościowa nie skomentowała jeszcze masowego ujawnienia, ale pamięć podręczna danych pokazuje, jak poważny był wyciek i kto może być w rezultacie najbardziej zagrożony.
Od czerwca 2021 r. do stycznia 2022 r. w interfejsie programowania aplikacji Twitter (API) występował błąd, który umożliwiał atakującym wysyłanie informacji kontaktowych, takich jak adresy e-mail, i otrzymywanie w zamian powiązanego konta na Twitterze, jeśli takie istnieje. Zanim została załatana, napastnicy wykorzystali lukę do „zeskrobania” danych z sieci społecznościowej. I chociaż błąd nie pozwolił hakerom na dostęp do haseł lub innych poufnych informacji, takich jak DM, ujawnił komunikację między kontami na Twitterze, które często są pseudonimami, oraz powiązanymi z nimi adresami e-mail i numerami telefonów, co może prowadzić do identyfikacji użytkownika.
Chociaż istnieje, luka najwyraźniej została wykorzystana przez wiele podmiotów do tworzenia różnych zestawów danych. Jeden, który krąży na forach przestępczych od lata, zawiera adresy e-mail i numery telefonów Około 5,4 miliona użytkowników Twittera. Nowo pojawiająca się mega grupa wydaje się zawierać tylko adresy e-mail. Jednak obieg danych na dużą skalę stwarza ryzyko, że będzie on napędzał ataki phishingowe, próby kradzieży tożsamości i inne indywidualne ataki.
Twitter nie odpowiedział na prośby WIRED o komentarz. Spółka książki O luce API w sierpniowym ujawnieniu: „Kiedy dowiedzieliśmy się o tym, natychmiast zbadaliśmy i naprawiliśmy. W tamtym czasie nie mieliśmy dowodów sugerujących, że ktoś wykorzystał lukę”. Najwyraźniej telemetria Twittera nie wystarczyła do wykrycia złośliwego scrapingu.
Twitter nie jest pierwszą platformą, która udostępnia dane do masowego przeszukiwania przez lukę w interfejsie API, a w takich scenariuszach często zdarza się, że Zamieszanie co do tego, ile faktycznie istnieje różnych zestawów danych wynikiem złośliwej eksploatacji. Incydenty te są jednak nadal znaczące, ponieważ dodają kolejne powiązania i weryfikację do ogromnego zbioru skradzionych danych, które już są obecne w ekosystemie przestępczym na temat użytkowników.
„Oczywiście jest wiele osób, które były świadome tej luki w zabezpieczeniach API i wiele osób ją usunęło. Czy różni ludzie zeskrobali różne rzeczy? Ile jest pochówków? To nie ma znaczenia. Hunt przetrawił zestaw danych HaveIBeenPwned na Twitterze i powiedział, że reprezentuje on informacje na ponad 200 milionach kont. Dziewięćdziesiąt osiem procent adresów e-mail zostało już naruszonych w poprzednich naruszeniach zarejestrowanych przez HaveIBeenPwned. Hunt twierdzi, że wysłał powiadomienia e-mail do prawie 1 064 000 z 4 400 000 milionów subskrybentów poczty e-mail jego usługi.
„Po raz pierwszy wysłałem siedmiocyfrowy e-mail” — mówi. „Prawie jedna czwarta mojej całkowitej liczby subskrybentów jest naprawdę ważna. Ale ponieważ wiele z nich już tam było, nie sądzę, aby był to incydent z długim ogonem pod względem wpływu. Chcieli zachować swoją prywatność ”.
Twitter napisał w sierpniu, że podziela obawy dotyczące możliwości powiązania pseudonimowych kont użytkowników z ich prawdziwą tożsamością w wyniku luki w interfejsie API.
„Jeśli prowadzisz pseudonimowe konto na Twitterze, rozumiemy ryzyko, jakie może stwarzać taki incydent i głęboko żałujemy, że tak się stało” – napisała firma. Aby Twoja tożsamość była jak najbardziej anonimowa, zalecamy, aby nie dodawać numeru telefonu ani publicznie znanego adresu e-mail do swojego konta na Twitterze.
Jednak dla użytkowników, którzy nie połączyli jeszcze swoich uchwytów na Twitterze z kontami e-mail palnika w momencie złomowania, rada przychodzi za późno. W sierpniu sieć społecznościowa poinformowała, że poinformowała osoby potencjalnie dotknięte tą sytuacją. Firma nie powiedziała, czy przekaże dalsze zawiadomienie w świetle setek milionów ujawnionych rekordów.
Komisja Ochrony Danych Irlandii Powiedział W zeszłym miesiącu firma badała incydent, który ujawnił użytkownikom 5,4 miliona adresów e-mail i numerów telefonów. Twitter jest obecnie badany przez amerykańską Federalną Komisję Handlu w celu ustalenia, czy firma naruszyła „dekret o zgodzie”, który wymagał od Twittera poprawy danych użytkowników i ochrony prywatności użytkowników.
Ta historia pojawiła się pierwotnie wired.com.
„Analityk. Nieuleczalny nerd z bekonu. Przedsiębiorca. Oddany pisarz. Wielokrotnie nagradzany alkoholowy ninja. Subtelnie czarujący czytelnik.”
