Ukradeni podaci više od 5,4 miliona korisničkih zapisa Twittera, koji sadrže informacije koje nisu javne, ukradene pomoću API ranjivosti popravljene u januaru besplatno su podijeljeni na hakerskom forumu.
Sigurnosni istraživač također je otkrio još jedno masivno, potencijalno značajnije, skladištenje podataka miliona zapisa na Twitteru, pokazujući koliko su akteri prijetnji zlupotrijebili ovaj bug.
Podaci se sastoje od skupljenih javnih informacija, kao i privatnih telefonskih brojeva i adresa e-pošte koji ne bi trebali biti javni.
Krađa podataka potvrđena
Prošlog jula, akter prijetnje počeo je prodavati privatne podatke više od 5,4 miliona korisnika Twittera na hakerskom forumu za 30.000 dolara.
Dok se većina podataka sastojala od javnih informacija, kao što su Twitter ID-ovi, imena, imena za prijavu, lokacije, oni su također uključivali privatne informacije, kao što su telefonski brojevi i adrese e-pošte.
Ovi su podaci prikupljeni u decembru 2021. pomoću ranjivosti Twitter API-ja otkrivene u HackerOne bug bounty programu koji je ljudima omogućio slanje telefonskih brojeva i adresa e-pošte u API kako bi dohvatili povezani Twitter ID.
Korištenjem ovog ID-a akteri prijetnji mogli bi zatim skinuti javne informacije o računu kako bi stvorili korisnički zapis koji sadrži i privatne i javne informacije.
Nije jasno je li objava HackerOnea procurila, ali BleepingComputeru je rečeno da je više aktera prijetnji koristilo bug za krađu privatnih informacija s Twittera.
Nakon što je BleepingComputer podijelio uzorak korisničkih zapisa s Twitterom, firma za društvene medije potvrdila je da su pretrpjeli povredu podataka pomoću API buga ispravljenog u januaru 2022.
Pompompurin, vlasnik hakerskog foruma Breached, rekao je za BleepingComputer ovog vikenda da su oni odgovorni za iskorištavanje buga i stvaranje golemog dumpa zapisa korisnika Twittera nakon što je drugi akter prijetnje poznat kao ‘Devil’ podijelio ranjivost s njima.
Uz 5,4 miliona zapisa za prodaju, bilo je i dodatnih 1,4 miliona Twitter profila za suspendirane korisnike koji su prikupljeni pomoću drugog API-ja, čime je ukupan broj dosegao gotovo 7 miliona Twitter profila koji sadrže privatne informacije.
Pompompurin je rekao da ovaj drugi depo podataka nije prodan i samo je privatno podijeljen između nekoliko ljudi.
Twitter podaci podijeljeni na hakerskom forumu
Pompompurin je za BleepingComputer potvrdio da se radi o istim podacima koji su bili na prodaju u avgustu, a uključuju 5.485.635 zapisa korisnika Twittera.
Ti zapisi sadrže ili privatnu adresu e-pošte ili telefonski broj i javne skrapirane podatke, uključujući Twitter ID računa, ime, zaslonsko ime, potvrđeni status, lokaciju, URL, opis, broj sljedbenika, datum kreiranja računa, broj prijatelja, broj favorita, broj statusa, a URL-ovi slika profila.
Još je veći privatni depo ukradenih podataka
Iako je zabrinjavajuće što su akteri prijetnji besplatno objavili 5,4 miliona zapisa, još veći dump podataka navodno je stvoren pomoću iste ranjivosti.
Ova kopija podataka potencijalno sadrži desetine miliona zapisa na Twitteru koji se sastoje od osobnih telefonskih brojeva prikupljenih pomoću istog buga API-ja i javnih informacija, uključujući potvrđeni status, imena računa, Twitter ID, biografiju i zaslonsko ime.
Vijest o ovoj značajnijoj povredi podataka dolazi od sigurnosnog stručnjaka Chada Lodera, koji je vijest prvi objavio na Twitteru i ubrzo nakon objave suspendiran. Loder je naknadno objavio redigirani uzorak ove veće povrede podataka na Mastodonu.
“Upravo sam primio dokaze o golemoj povredi podataka na Twitteru koja je utjecala na milione Twitter računa u EU i SAD-u. Kontaktirao sam uzorak pogođenih računa i oni su potvrdili da su probijeni podaci tačni. Ova povreda se dogodila ne prije 2021.”, Loder je podijelio na Twitteru.
BleepingComputer je dobio oglednu datoteku ovog dosad nepoznatog deponiranja podataka na Twitteru, koji sadrži 1.377.132 telefonska broja za korisnike u Francuskoj.
Od tada smo s brojnim korisnicima u ovom curenju potvrdili da su telefonski brojevi valjani, potvrđujući da je ova dodatna povreda podataka stvarna.
Nadalje, niti jedan od ovih telefonskih brojeva nije prisutan u izvornim podacima prodanim u avgustu, što ilustrira koliko je kršenje podataka Twittera bilo veće nego što je prethodno objavljeno i koliko je velika količina korisničkih podataka kružila među akterima prijetnji.
Pompompurin je također potvrdio s BleepingComputerom da nisu odgovorni i da ne znaju ko je stvorio ovaj novootkriveni dump podataka, što ukazuje da su drugi ljudi koristili ovu ranjivost API-ja.
BleepingComputer je saznao da se ovaj novootkriveni depo podataka sastoji od brojnih datoteka podijeljenih po pozivnim brojevima država i područja, uključujući Evropu, Izrael i SAD.
Rečeno nam je da se sastoji od preko 17 miliona zapisa, ali to nismo mogli neovisno potvrditi.
Budući da se ovi podaci potencijalno mogu koristiti za ciljane phishing napade kako bi se dobio pristup podacima za prijavu, bitno je pažljivo proučiti svaku e-poruku za koju se tvrdi da dolazi s Twittera.
Ako primite e-poruku u kojoj se tvrdi da je vaš račun obustavljen, postoje problemi s prijavom ili ćete uskoro izgubiti potvrđen status, a od vas se traži da se prijavite na domenu koja nije Twitter, zanemarite e-poruku i izbrišite ih jer su vjerovatni pokušaji krađe identiteta.
BleepingComputer se u četvrtak obratio Twitteru u vezi s ovom dodatnom deponijom privatnih podataka, ali još nije dobio odgovor.
IZVOR: Bleeping Computer
