Har du en Twitter konto? så kan du starte med at ændre dit password nu, på grund af et hack i en del af Twitters infrastruktur. Twitter har verificeret dette jf. vor kilde Restore Privacy. En trusselsaktør lagde kontodata angiveligt fra 5.4 millioner brugere ud på Darknet. Ganske vist ikke gratis.
Vi vurderer at Twitter er bekendt med dette hack som måske i virkeligheden er et fejlslagent Ransomware forsøg. Twitter har dog nu lappet sårbarheden, men den database, der er erhvervet fra denne hacker, sælges nu på et populært hackingforum, der blev offentliggjort tidligere i dag.
Tilbage i januar blev der lavet en rapport om HackerOne af en sårbarhed, der gør det muligt for en hacker at erhverve telefonnummeret og / eller e-mail-adressen, der er knyttet til Twitter-konti, selvom brugeren har skjult disse felter i privatlivsindstillingerne. Fejlen var specifik for Twitters Android-klient og opstod med Twitters godkendelsesproces.
HackerOne-brugeren “zhirinovskiy” indsendte fejlrapporten den 1. januar i år. Han beskrev de potentielle konsekvenser af denne sårbarhed som en alvorlig trussel, der kunne udnyttes af trusselsaktører.
Dette er en alvorlig trussel, da folk ikke kun kan finde brugere, der har begrænset muligheden for at blive fundet via e-mail / telefonnummer, men enhver angriber med en grundlæggende viden om scripting / kodning kan opregne en stor del af Twitter-brugerbasen, der ikke er tilgængelig til opregning før (opret en database med telefon / e-mail til brugernavnsforbindelser). Sådanne baser kan sælges til ondsindede parter til reklameformål, eller med det formål at tagge berømtheder i forskellige ondsindede aktiviteter.
– HackerOne bruger zhirinovskiy
HackerOne-rapporten beskriver efterfølgende nøjagtigt, hvordan man replikerer sårbarheden og erhverver dataene fra en målrettet Twitter-konto.
Fem dage efter offentliggørelsen af rapporten erkendte Twitter-medarbejdere, at dette var et “gyldigt sikkerhedsproblem” og lovede at undersøge det nærmere. Efter yderligere at have undersøgt problemet og arbejdet på at løse sårbarheden, Twitter tildelte brugeren zhirinovskiy en $5,040 dusør.
Twitter anerkendte sårbarheden og tildelte HackerOne-brugeren en dusør.
Udnyttelse af denne sårbarhed med Twitter Android-klienten beskrives som følger på HackerOne-rapporten:
Sårbarheden gør det muligt for enhver part uden nogen godkendelse at få et twitter-id (hvilket næsten svarer til at få brugernavnet på en konto) for enhver bruger ved at indsende et telefonnummer / e-mail, selvom brugeren har forbudt denne handling i privatlivsindstillingerne. Fejlen eksisterer på grund af den proccess af autorisation, der bruges i Android Client of Twitter, specifikt i processen med at kontrollere duplikering af en Twitter-konto.
– HackerOne bruger zhirinovskiy
I dag ser vi imidlertid konsekvenserne af denne sårbarhed blive til virkelighed.
Hacker lister database med 5.4 millioner Twitter-brugere til salg
Præcis som HackerOne-brugeren zhirinovskiy beskrev i den oprindelige rapport i januar, sælger en trusselsaktør nu de data, der angiveligt er erhvervet fra denne sårbarhed.
Tidligere i dag bemærkede vi en ny bruger, der solgte Twitter-databasen på Breached Forums, det berømte hackingforum, der fik international opmærksomhed tidligere på måneden med et databrud, der udsatte over 1 milliard kinesiske indbyggere.
Opslaget er stadig live nu, hvor Twitter-databasen angiveligt består af 5,4 millioner brugere, der er til salg. Sælgeren på hackingforummet går under brugernavnet “djævel” og hævder, at datasættet inkluderer “Berømtheder, til virksomheder, tilfældige, OG’er osv.”
Kilde: RestorePrivacy.com
Et par timer efter, at indlægget blev lavet, ejeren af Breach Forums verificerede ægtheden af lækagen og påpegede også, at den blev ekstraheret via sårbarheden fra HackerOne-rapporten ovenfor.
Breach Forums-brugeren, der sælger databasen, sendte også en prøve af dataene.
Analyse og verifikation af dataprøven
Vi downloadede eksempeldatabasen til verifikation og analyse. Det inkluderer mennesker fra hele verden med offentlige profiloplysninger samt Twitter-brugerens e-mail eller telefonnummer, der bruges med kontoen.
Nedenfor er to eksempler fra den database, vi undersøgte. Alle prøver, vi kiggede på, matcher med virkelige mennesker, der let kan verificeres med offentlige profiler på Twitter.
Vi kontaktede sælgeren af denne database for at indsamle yderligere oplysninger.
Han fortalte RestorePrivacy, at alle oplysningerne allerede var afsløret i HackerOne-rapporten. Sælgeren beder om mindst $ 30.000 til databasen, som nu er tilgængelig på grund af “Twitters inkompetence” ifølge sælgeren.
Vi kontaktede Twitter for at få en kommentar til denne situation den 21. juli 2022.
På det tidspunkt, hvor denne artikel gik live, har vi ikke hørt tilbage.
Kilde: https://restoreprivacy.com/twitter-vulnerability-exposes-5-million-accounts/
Fotokredit: Twitter Logo udarbejdet af Twitter.