Twitter παραβίαση δεδομένων: Αρχεία με δεδομένα 5.4 εκατομμυρίων χρηστών του Twitter που εκλάπησαν από hacker με τη χρήση ευπάθειας API, διατίθενται δωρεάν σε hacking φόρουμ. Η ευπάθεια έχει διορθωθεί εδώ και μήνες.
Ένας ερευνητής ασφαλείας ανακάλυψε και ένα άλλο data dump με δεδομένα χρηστών Twitter, που περιλαμβάνει ενδεχομένως πιο σημαντικές πληροφορίες από το προηγούμενο. Αυτό δείχνει ότι πολλοί εγκληματίες του κυβερνοχώρου εκμεταλλεύτηκαν την ευπάθεια πριν διορθωθεί. Η διαρροή των στοιχείων 5.4 εκατομμυρίων χρηστών ήταν γνωστή, αφού είχαν εκτεθεί και προηγουμένως αλλά οι νέες διαρροές δείχνουν ότι τα πράγματα είναι χειρότερα απ’ ότι γνωρίζαμε, αφού περισσότεροι εγκληματίες είχαν πρόσβαση σε αυτά τα δεδομένα.
Τα δεδομένα αποτελούνται κυρίως από συλλεγμένες δημόσιες πληροφορίες, αλλά περιλαμβάνονται και κάποιοι ιδιωτικοί αριθμοί τηλεφώνου και διευθύνσεις email που δεν έπρεπε να είναι δημόσιοι.
Twitter: Παραβίαση δεδομένων χρηστών
Ένας hacker άρχισε να πουλά τις προσωπικές πληροφορίες 5,4 εκατομμυρίων χρηστών του Twitter τον περασμένο Ιούλιο, για 30.000 δολάρια σε ένα hacking φόρουμ.
Τα περισσότερα από τα δεδομένα περιλάμβαναν δημόσιες πληροφορίες – όπως Twitter IDs, ονόματα, ονόματα σύνδεσης, τοποθεσίες και επαληθευμένη κατάσταση. Ωστόσο, όπως είπαμε και παραπάνω, περιείχαν επίσης ιδιωτικές πληροφορίες που θα έπρεπε να είχαν διατηρηθεί εμπιστευτικές, όπως αριθμούς τηλεφώνου και διευθύνσεις ηλεκτρονικού ταχυδρομείου.
Δείτε επίσης: Χάκερ πωλεί Fortinet VPN access στο dark web
Τα δεδομένα αυτά συλλέχθηκαν τον Δεκέμβριο του 2021 από μια ευπάθεια API του Twitter που επέτρεπε την υποβολή τηλεφώνου και διεύθυνσης ηλεκτρονικού ταχυδρομείου για την ανάκτηση του σχετικού Twitter ID.
Χρησιμοποιώντας αυτό το αναγνωριστικό, οι επιτιθέμενοι μπορούσαν να έχουν πρόσβαση σε δημόσιες πληροφορίες σχετικά με το λογαριασμό για να φτιάξουν ένα αρχείο για κάθε χρήστη που περιλαμβάνει τόσο ιδιωτικά όσο και δημόσια δεδομένα.
Σύμφωνα με το Bleeping Computer, πολλοί εγκληματίες του κυβερνοχώρου εκμεταλλεύτηκαν το σφάλμα για να κλέψουν προσωπικές πληροφορίες από χρήστες του Twitter.
Αφού το BleepingComputer μοιράστηκε ένα δείγμα των αρχείων χρηστών με το Twitter, η εταιρεία επιβεβαίωσε ότι είχε υποστεί παραβίαση δεδομένων με τη χρήση ενός API bug που διορθώθηκε τον Ιανουάριο του 2022.
Κατά τη διάρκεια του Σαββατοκύριακου, ο Pompompurin, ιδιοκτήτης του Breached hacking forum, δήλωσε στο BleepingComputer ότι ήταν υπεύθυνος για την εκμετάλλευση του σφάλματος για τη δημιουργία των αρχείων των χρηστών του Twitter. Αυτό έγινε αφού ένας άλλος δράστης απειλών γνωστός ως “Devil” μοιράστηκε μαζί του την ευπάθεια.
Εκτός από τα 5,4 εκατομμύρια αρχεία προς πώληση, υπήρχαν επίσης επιπλέον 1,4 εκατομμύρια προφίλ Twitter για χρήστες σε αναστολή, που συλλέχθηκαν χρησιμοποιώντας διαφορετικό API. Έτσι έχουν εκτεθεί περίπου 7 εκατομμύρια προφίλ Twitter που περιέχουν ιδιωτικές πληροφορίες.
Ο Pompompurin είπε ότι αυτό το δεύτερο data dump δεν πωλήθηκε και κοινοποιήθηκε ιδιωτικά μόνο σε λίγα άτομα.
Δεδομένα Twitter κοινοποιήθηκαν σε hacking φόρουμ
Τον Σεπτέμβριο, και τώρα πιο πρόσφατα, στις 24 Νοεμβρίου, τα αρχεία 5,4 εκατομμυρίων χρηστών Twitter κοινοποιήθηκαν δωρεάν σε ένα hacking φόρουμ.
Ο Pompompurin επιβεβαίωσε στο BleepingComputer ότι πρόκειται για τα ίδια δεδομένα που ήταν προς πώληση τον Αύγουστο και περιλαμβάνουν 5.485.635 αρχεία χρηστών του Twitter.
Αυτά τα αρχεία περιέχουν είτε μια ιδιωτική διεύθυνση email είτε έναν αριθμό τηλεφώνου και δημόσια δεδομένα, όπως το Twitter ID του λογαριασμού, το όνομα, το screen name, τη διεύθυνση URL, το verified status, την τοποθεσία, την περιγραφή, τον αριθμό ακολούθων, τον αριθμό των αγαπημένων, τον αριθμό φίλων, την ημερομηνία δημιουργίας λογαριασμού, statuses count και διευθύνσεις URL εικόνων προφίλ.
Δείτε επίσης: Συνελήφθησαν 14 χάκερ για spam σε 115 govt sites με διαφημίσεις gambling
Ένα μεγαλύτερο data dump δημιουργήθηκε ιδιωτικά
Ενώ είναι ανησυχητικό ότι οι φορείς απειλών κυκλοφόρησαν δωρεάν τα 5,4 εκατομμύρια αρχεία, φέρεται ότι δημιουργήθηκε ένα ακόμα μεγαλύτερο data dump μέσω της ίδιας ευπάθειας, που περιλαμβάνει αντίστοιχες πληροφορίες.
Η είδηση αυτής της πιο σημαντικής παραβίασης δεδομένων προέρχεται από τον ειδικό σε θέματα ασφάλειας Chad Loder, ο οποίος έκανε πρώτος γνωστή την είδηση στο Twitter και ανεστάλη αμέσως μετά την ανάρτησή του. Ο Loder δημοσίευσε στη συνέχεια ένα διορθωμένο δείγμα αυτής της μεγαλύτερης παραβίασης δεδομένων στο Mastodon.
“Μόλις έλαβα στοιχεία για μια μαζική παραβίαση δεδομένων Twitter που επηρεάζει εκατομμύρια λογαριασμούς Twitter στην ΕΕ και τις ΗΠΑ. Επικοινώνησα με ένα δείγμα των λογαριασμών που επηρεάστηκαν και επιβεβαίωσαν ότι τα δεδομένα που παραβιάστηκαν είναι ακριβή. Αυτή η παραβίαση σημειώθηκε όχι νωρίτερα από το 2021“, είχε γράψει Loder στο Twitter.
Το BleepingComputer απέκτησε ένα δείγμα, το οποίο περιέχει 1.377.132 αριθμούς τηλεφώνου για χρήστες στη Γαλλία.
Επιβεβαιώθηκε ότι οι αριθμοί τηλεφώνου είναι έγκυροι, κάτι που επαληθεύει ότι η πρόσθετη παραβίαση δεδομένων είναι πραγματική.
Επιπλέον, κανένας από αυτούς τους αριθμούς τηλεφώνου δεν υπάρχει στα αρχικά δεδομένα χρηστών που πωλήθηκαν τον Αύγουστο, υποδεικνύοντας πόσο μεγαλύτερη ήταν η παραβίαση δεδομένων του Twitter από ό,τι είχε αποκαλυφθεί προηγουμένως.
Δείτε επίσης: Η Interpol κατέσχεσε 130 εκατομμύρια από κυβερνοεγκληματίες
Ο Pompompurin επιβεβαίωσε ότι δεν γνώριζε ποιος δημιούργησε αυτό το δεύτερο data dump με τα δεδομένα χρηστών του Twitter, υποδεικνύοντας ότι άλλα άτομα χρησιμοποιούσαν την ίδια ευπάθεια API.
Καθώς αυτά τα δεδομένα μπορούν δυνητικά να χρησιμοποιηθούν για στοχευμένες επιθέσεις phishing, είναι σημαντικό να ελέγχετε κάθε email που ισχυρίζεται ότι προέρχεται από το Twitter.
Προσέξτε ιδίως emails που υποστηρίζουν ότι ο λογαριασμός σας έχει τεθεί σε αναστολή, ότι υπάρχουν προβλήματα σύνδεσης ή ότι πρόκειται να χάσετε την επαληθευμένη κατάστασή σας. Εάν στο email υπάρχει και σύνδεσμος που σας ζητά να συνδεθείτε σε ένα domain που δεν ανήκει στο Twitter, αγνοήσετε το μήνυμα και διαγράψτε το.
Οι παραβιάσεις δεδομένων αποτελούν όλο και πιο συχνό φαινόμενο και μπορούν να έχουν καταστροφικές συνέπειες, αφού τα κλεμμένα δεδομένα μπορούν να χρησιμοποιηθούν για πρόσθετες παραβιάσεις και απάτες.
Πηγή: www.bleepingcomputer.com