En datalækage beskrevet som indeholdende e-mail-adresser til over 200 millioner Twitter-brugere er blevet offentliggjort på et populært hackerforum for omkring $ 2. BleepingComputer har bekræftet gyldigheden af mange af de e-mail-adresser, der er anført i lækagen.
Siden 22. juli 2022 har hackere og databrudsindsamlere solgt og cirkuleret store datasæt af skrabede Twitter-brugerprofiler, der indeholder både private (telefonnumre og e-mail-adresser) og offentlige data på forskellige online hackerfora og cyberkriminalitetsmarkeder.
Disse datasæt blev oprettet i 2021 ved at udnytte en Twitter API-sårbarhed, der tillod brugere at indtaste e-mail-adresser og telefonnumre for at bekræfte, om de var knyttet til et Twitter-id.
Hackerne brugte derefter en anden API til at skrabe de offentlige Twitter-data til ID’et og kombinerede disse offentlige data med private e-mail-adresser / telefonnumre for at oprette profiler af Twitter-brugere.
Selvom Twitter rettede denne fejl i januar 2022, er flere hackere for nylig begyndt at lække de datasæt, de indsamlede for over et år siden, gratis.
Det første datasæt med 5.4 millioner brugere blev sat til salg i juli for $ 30,000 og i sidste ende frigivet gratis den 27. november 2022. Et andet datasæt, der angiveligt indeholdt data for 17 millioner brugere, cirkulerede også privat i november.
For nylig begyndte en hacker at sælge et datasæt, som de hævdede indeholdt 400 millioner Twitter-profiler indsamlet ved hjælp af denne sårbarhed.
200 millioner linjer af Twitter-profiler frigivet gratis
I dag frigav en hacker et datasæt bestående af 200 millioner Twitter-profiler på Breached hacking-forummet for otte kreditter af forummets valuta til en værdi af ca. $ 2.
Dette datasæt er angiveligt det samme som det 400 millioner sæt, der cirkulerede i november, men ryddet op for ikke at indeholde dubletter, hvilket reducerer det samlede antal til omkring 221.608.279 linjer. BleepingComputers tests har dog også bekræftet dubletter i disse seneste lækkede data.
Dataene blev frigivet som et RAR-arkiv bestående af seks tekstfiler til en samlet størrelse på 59 GB data.
Hver linje i filerne repræsenterer en Twitter-bruger og deres data, som inkluderer e-mail-adresser, navne, skærmnavne, opfølgningstællinger og kontooprettelsesdatoer, som vist nedenfor.
I modsætning til tidligere lækkede data indsamlet ved hjælp af denne Twitter API-fejl, dagens lækage angiver ikke, om en konto er verificeret.
Mens BleepingComputer har været i stand til at bekræfte, at e-mail-adresserne er korrekte for mange af de anførte Twitter-profiler, er det fulde datasæt naturligvis ikke blevet bekræftet.
Desuden er datasættet langt fra komplet, da der var mange brugere, der ikke blev fundet i lækagen.
Hvorvidt dine oplysninger er i dette datasæt, afhænger i høj grad af, om din e-mail-adresse blev eksponeret i tidligere databrud.
I 2021 oprettede thackerne massive lister over e-mail-adresser og telefonnumre, der blev udsat for tidligere databrud.
Skraberne førte derefter disse lister ind i API-fejlen for at se, om dit nummer eller din e-mail-adresse var knyttet til et tilsvarende Twitter-id med e-mailen eller telefonnummeret.
Hvis din e-mail-adresse kun bruges på Twitter eller ikke var i mange databrud, ville den ikke være blevet ført ind i API-fejlen og føjet til dette datasæt.
BleepingComputer har kontaktet Twitter vedrørende disse lækkede data, men har ikke modtaget et svar på dette eller vores tidligere e-mails.
Hvad skal du gøre?
Selvom denne datalækage kun indeholder e-mail-adresser, kan den bruges af hackere til at udføre phishing-angreb mod konti, især verificerede.
Verificerede konti med store tilhængere er højt værdsat, da de ofte bruges til at stjæle kryptokurrency gennem online-svindel.
Denne lækage er også et betydeligt privatlivsproblem, især for Twitter-brugere, der tweeter anonymt. Med denne lækage kan det være muligt at identificere anonyme Twitter-brugere og afsløre deres rigtige identitet.
Alle Twitter-brugere bør være på udkig efter målrettede phishing-svindel, der forsøger at stjæle dine adgangskoder eller andre følsomme oplysninger.
Desværre, hvis du er bekymret for, at din identitet afsløres af en lækket e-mail-adresse, er der ikke meget, du kan gøre.
Kilde: BleepingComputer
Foto: Pexels
