5,4 millioner Twitter-brugeres stjålne data lækket online
Over 5.4 millioner Twitter-brugeroptegnelser, der indeholder ikke-offentlige oplysninger stjålet ved hjælp af en API-sårbarhed, der blev rettet i januar, er blevet delt gratis på et hackerforum.
En anden massiv, potentielt mere betydningsfuld, datadump af millioner af Twitter-poster er også blevet afsløret af en sikkerhedsforsker, der viser, hvor meget misbrugt denne fejl var af trusselsaktører.
Dataene består af skrabede offentlige oplysninger samt private telefonnumre og e-mail-adresser, der ikke er beregnet til at være offentlige.
Twitter-dataovertrædelsen
I juli sidste år begyndte en trusselsaktør at sælge de private oplysninger fra over 5.4 millioner Twitter-brugere på et hackingforum for $ 30,000.
Mens de fleste af dataene bestod af offentlige oplysninger, såsom Twitter-id’er, navne, loginnavne, placeringer og verificeret status, omfattede de også private oplysninger, såsom telefonnumre og e-mail-adresser.
Disse data blev indsamlet i december 2021 ved hjælp af en Twitter API-sårbarhed, der blev afsløret i HackerOne-bugdusørprogrammet, der gjorde det muligt for folk at indsende telefonnumre og e-mail-adresser til API’en for at hente det tilknyttede Twitter-id.
Ved hjælp af dette id kunne trusselsaktørerne derefter skrabe offentlige oplysninger om kontoen for at oprette en brugerpost, der indeholder både private og offentlige oplysninger.
Efter at BleepingComputer delte en prøve af brugeroptegnelserne med Twitter, bekræftede det sociale mediefirma, at de havde lidt et databrud ved hjælp af en API-fejl, der blev rettet i januar 2022.
Pompompurin, ejeren af Breached hacking forum, fortalte BleepingComputer i weekenden, at de var ansvarlige for at udnytte fejlen og skabe det massive dump af Twitter-brugeroptegnelser, efter at en anden trusselsaktør kendt som ‘Devil’ delte sårbarheden med dem.
Ud over de 5.4 millioner poster til salg var der også yderligere 1.4 millioner Twitter-profiler til suspenderede brugere indsamlet ved hjælp af en anden API, hvilket bringer det samlede antal til næsten 7 millioner Twitter-profiler, der indeholder private oplysninger.
Pompompurin sagde, at dette andet datadump ikke blev solgt og kun blev delt privat blandt nogle få mennesker.
Twitter-data delt på et hackingforum
I september og nu for nylig, den 24. november, er de 5.4 millioner Twitter-poster nu blevet delt gratis på et hackingforum.
5.4 millioner Twitter-poster lækket online gratis
Kilde: BleepingComputer
Pompompurin har bekræftet over for BleepingComputer, at dette er de samme data, der var til salg i august, og inkluderer 5,485,635 Twitter-brugeroptegnelser.
Disse poster indeholder enten en privat mailadresse eller et telefonnummer og offentlige skrabede data, herunder kontoens Twitter-id, navn, skærmnavn, bekræftet status, placering, webadresse, beskrivelse, antal følgere, dato for oprettelse af konto, antal venner, antal favoritter, antal statusser og webadresser til profilbilleder.
Et endnu større datadump privat oprettet
Mens det er bekymrende, at trusselsaktører frigav de 5.4 millioner poster gratis, blev der angiveligt oprettet et endnu større datadump ved hjælp af den samme sårbarhed.
Dette datadump indeholder potentielt titusinder af Twitter-poster bestående af personlige telefonnumre indsamlet ved hjælp af den samme API-fejl og offentlige oplysninger, herunder verificeret status, kontonavne, Twitter-id, bio og skærmnavn.
Nyheden om dette mere betydningsfulde databrud kommer fra sikkerhedsekspert Chad Loder, der først udgav nyheden på Twitter og blev suspenderet kort efter. Loder offentliggjorde efterfølgende en redigeret prøve af dette større databrud på Mastodon.
“Jeg har netop modtaget beviser for et massivt Twitter-databrud, der påvirker millioner af Twitter-konti i EU og USA. Jeg har kontaktet en stikprøve af de berørte konti, og de bekræftede, at de brudte data er korrekte. Denne overtrædelse fandt sted tidligst i 2021,”
skrev Loder på Twitter.
BleepingComputer har fået en prøvefil af dette tidligere ukendte Twitter-datadump, som indeholder 1,377,132 telefonnumre til brugere i Frankrig.
Vi har siden bekræftet med adskillige brugere i denne lækage, at telefonnumrene er gyldige, hvilket bekræfter, at dette yderligere databrud er reelt.
Desuden er ingen af disse telefonnumre til stede i de originale data, der blev solgt i august, hvilket illustrerer, hvor meget større Twitters databrud var end tidligere afsløret, og den store mængde brugerdata, der cirkulerer blandt trusselsaktører.
Pompompurin bekræftede også med BleepingComputer, at de ikke var ansvarlige og ikke vidste, hvem der oprettede denne nyopdagede datadump, hvilket indikerer, at andre mennesker brugte denne API-sårbarhed.
BleepingComputer har lært, at denne nyopdagede datadump består af adskillige filer opdelt efter lande- og områdekoder, herunder Europa, Israel og USA.
Vi fik at vide, at det består af over 17 millioner poster, men kunne ikke uafhængigt bekræfte dette.
Da disse data potentielt kan bruges til målrettede phishing-angreb for at få adgang til loginoplysninger, er det vigtigt at undersøge enhver e-mail, der hævder at komme fra Twitter.
Hvis du modtager en e-mail, der hævder, at din konto blev suspenderet, er der loginproblemer, eller du er ved at miste din bekræftede status, og det beder dig om at logge ind på et ikke-Twitter-domæne, ignorere e-mails og slette dem, da de sandsynligvis er phishing-forsøg.
Derfor skal du ændre password på din twitter konto straks.
KILDE: Hackerone, Bleebing Computer og Chad Loder.
Fotokredit: PIXABAY