Twitter bekræftede i dag, at den nylige lækage af millioner af medlemmers profiler, herunder private telefonnumre og e-mail-adresser, skyldtes det samme databrud, som virksomheden afslørede i august 2022.
Twitter siger, at dets hændelsesresponsteam analyserede brugerdataene, der blev lækket i november 2022, og bekræfter, at de blev indsamlet ved hjælp af den samme sårbarhed, før de blev rettet i januar 2022.
“I november 2022 offentliggjorde nogle presserapporter, at Twitter-brugernes data angiveligt var blevet lækket online,” lyder opdateringen.
“Så snart vi blev opmærksomme på nyheden, sammenlignede Twitters Incident Response Team dataene i den nye rapport med data rapporteret af medierne den 21. juli 2022. Sammenligningen fastslog, at de eksponerede data var de samme i begge tilfælde.” – Twitter.
Data lækket på et hackingforum
I januar 2022 modtog Twitter en rapport gennem sit bug bounty-program om, at en API-sårbarhed giver en angriber mulighed for at fodre e-mail-adresser eller telefonnumre og få et tilknyttet Twitter-id til en registreret konto.
Da medlemmernes telefonnumre og e-mail-adresser ikke er beregnet til at være offentlige, kan dette udgøre en betydelig privatlivsrisiko for Twitter-brugere, der ønsker at skrive anonymt.
Da Twitter afhjalp problemet, havde en hacker allerede udnyttet API-sårbarheden til at indtaste millioner af e-mail-adresser og telefonnumre for at oprette 5.4 millioner brugerprofiler bestående af offentlige og ikke-offentlige data.
Disse skrabede data blev derefter sat til salg på et hackerforum i juli 2022 for svarende til kr. 150.000, hvor to personer angiveligt købte dem til under den oprindelige forespørgselspris.
Twitter-data sælges på et hackerforum.
I september 2022 og november 2022 udgav en trusselsaktør en JSON-fil, der indeholder det komplette sæt på 5.4 millioner poster, der blev skrabet i 2021, som privat cirkulerede blandt et lille antal trusselsaktører indtil da.
Omkring samme tid delte en forsker også prøver af et ekstra sæt Twitter-profiler skrabet ved hjælp af sårbarheden, der ikke var inkluderet i det oprindelige 5.4 millioner brugerbrud.
Dette datasæt er angiveligt langt mere omfattende og indeholder angiveligt 17 millioner poster indsamlet ved hjælp af den samme API-fejl.
Mens BleepingComputer ikke har været i stand til at bekræfte omfanget af dette yderligere datasæt, var vi i stand til at undersøge en prøve af et datasæt, der indeholder 1.4 millioner tidligere ikke-afslørede franske Twitter-kontooptegnelser.
BleepingComputer brugte denne prøve til at kontakte listede Twitter-brugere og bekræfte, at det lækkede telefonnummer tilhørte dem, hvilket bekræftede, at dette yderligere datasæt var gyldigt.
Desværre, mens Twitters seneste opdatering indikerer, at de data, der blev lækket i sidste måned, er bundet til den tidligere afslørede sårbarhed, har virksomheden ikke bekræftet det nøjagtige antal eksponerede brugere.
Twitter råder brugerne til at aktivere tofaktorautentificering, bruge autentificeringsapps eller hardwarenøgler til at beskytte deres konti og være ekstra opmærksomme på indgående e-mails relateret til deres Twitter-konti.
“Vi opfordrer også Twitter-brugere til at forblive ekstra opmærksomme, når de modtager nogen form for kommunikation via e-mail, da trusselsaktører kan udnytte de lækkede oplysninger til at skabe meget effektive phishing-kampagner,” advarer Twitter.
“Vær forsigtig med e-mails, der formidler en følelse af haster og e-mails, der anmoder om dine private oplysninger, dobbelttjek altid, at e-mails kommer fra en legitim Twitter-kilde.”
Kilde: BleepingComputer
Foto: StockPack