Cyberbezpieczeństwo
Musk znowu ma kłopoty. Tym razem to… kolejny wielki wyciek danych z Twittera
Wyciekły dane ponad 5,4 mln użytkowników Twittera. Wszystko wskazuje na to, że incydent ten stanie się kolejnym problemem dla nowego właściciela platformy Elona Muska, pomimo że dane wykradziono w wyniku wykorzystania podatności bezpieczeństwa załatanej w styczniu tego roku.
Dane ponad 5,4 mln użytkowników Twittera wystawiono za darmo do wzięcia na jednym z forów hakerskich. Wśród informacji zawartych w wykradzionej bazie danych, znajdowały się również informacje niepubliczne – informuje serwis Bleeping Computer.
Wśród danych niepublicznych, wyróżnić można prywatne numery telefonów użytkowników oraz adresy e-mail, wykorzystywane przez użytkowników do logowania się na kontach na Twitterze.
Czytaj też
Późna reakcja, późne wykrycie
Dane, o których mowa, zaczęły być sprzedawane na innym forum dla cyberprzestępców w lipcu ubiegłego roku – pisze serwis. Wówczas to prawdopodobny sprawca zaczął oferować bazę danych zawierającą rekordy dotyczące 5,4 mln osób w cenie 30 tys. dolarów.
Większość danych zawartych w tym zbiorze zawierała co prawda informacje publicznie dostępne, takie jak nazwa konta, nick użytkownika (tzw. Twitter ID), a także lokalizacja, status weryfikacji itd., jednak mimo wszystko znalazły się tam również wcześniej wspomniane już informacje niepubliczne.
Dane miano zebrać w grudniu 2021 roku, wykorzystując lukę bezpieczeństwa w interfejsie programistycznym Twittera (API), którą potem ujawniono i naprawiono w ramach programu bug bounty, realizowanego przez platformę HackerOne.
API, którego podatność użyto, pozwalało użytkownikom na odnajdywanie swojego ID na Twitterze przez wpisanie adresu e-mail albo numeru telefonu.
Z wykorzystaniem tych właśnie ID zebrano publiczne dane na temat osób dotkniętych incydentem, które następnie zestawiono z informacjami niepublicznymi – pisze Bleeping Computer.
Według informacji redakcji, podatność API Twittera wykorzystał więcej niż jeden sprawca.
Błąd API został naprawiony w styczniu tego roku.
Czytaj też
1,4 mln użytkowników gratis
Oprócz danych 5,4 mln osób z Twittera, których dane zawarto w omówionym wcześniej zbiorze, na forum oferowano również dane o 1,4 mln zawieszonych kont. Informacje te zgromadzono z wykorzystaniem innego, lecz również dziurawego API Twittera.
Według właściciela forum posługującego się pseudonimem Pompompurin, ten drugi zbiór – dotyczący zawieszonych użytkowników – nie był oferowany publicznie, a dotarł jedynie do kilku osób w dystrybucji prywatnej.
Więcej kłopotów
Serwis informuje, że wyciek danych 5,4 mln osób to nie koniec kłopotów – wykorzystując tę samą podatność API Twittera ktoś stworzył gigantyczną bazę danych zawierających nawet dziesiątki milionów rekordów, w których znajdują się numery telefonów, e-maile, status weryfikacji, nazwa konta i nick użytkownika, a także treść biogramu z Twittera.
Informacje o tym drugim, znacznie poważniejszym wycieku, redakcja otrzymała od eksperta cyberbezpieczeństwa posługującego się pseudonimem Chad Loder, który poinformował o tym fakcie również na Twitterze i chwilę później został tam... zawieszony.
Jego zdaniem do wycieku doszło „nie wcześniej niż w 2021 roku".
Dane, które zawierają się w drugim, większym zbiorze, pochodzą od użytkowników z Europy, Izraela i USA. Źródło redakcji twierdzi, że w bazie może być nawet 17 mln rekordów, jednak Bleeping Computer zastrzega, że informacji tej nie może samodzielnie potwierdzić.
Pikanterii wszystkim tym informacjom dodaje fakt, że o tym, jak bardzo niedopracowane są zabezpieczenia Twittera, informował sygnalista Peiter Zatko. O jego rewelacjach można przeczytać na łamach naszego serwisu w tym tekście . Zatko twierdził m.in., że Twitter zdawał sobie sprawę ze swoich problemów z bezpieczeństwem, jednak zarząd platformy celowo ignorował te kwestie.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].