Wat het e-maillek van 200 miljoen Twitter-e-mails echt betekent

Na rapporten eind 2022 dat hackers gestolen gegevens van 400 miljoen Twitter-gebruikers verkochten, zeggen onderzoekers nu dat een wijd verspreide schat aan e-mailadressen die geassocieerd zijn met ongeveer 200 miljoen gebruikers waarschijnlijk een geredigeerde versie zal zijn van de grotere verzameling met de verwijdering van dubbele vermeldingen. Het sociale netwerk moet nog reageren op de massale blootstelling, maar de cache met gegevens laat zien hoe ernstig het lek was en wie daardoor het meeste risico loopt.

Van juni 2021 tot en met januari 2022 was er een bug in de Twitter Application Programming Interface, of API, waardoor aanvallers contactgegevens zoals e-mailadressen konden verzenden en in ruil daarvoor het bijbehorende Twitter-account konden ontvangen. Voordat het werd gepatcht, misbruikten aanvallers de fout om gegevens van het sociale netwerk te “schrapen”. En hoewel de bug hackers niet toestond toegang te krijgen tot wachtwoorden of andere gevoelige informatie zoals DM’s, legde het wel de communicatie bloot tussen Twitter-accounts, die vaak pseudoniemen zijn, en de bijbehorende e-mailadressen en telefoonnummers, wat zou kunnen leiden tot gebruikersidentificatie.

Terwijl het live was, werd de kwetsbaarheid blijkbaar uitgebuit door meerdere actoren om verschillende datasets te bouwen. Een die sinds de zomer op criminele fora circuleert, bevat de e-mailadressen en telefoonnummers van Ongeveer 5,4 miljoen Twitter-gebruikers. De nieuw verschenen megagroep lijkt alleen maar e-mailadressen te bevatten. De grootschalige verspreiding van gegevens creëert echter het risico dat dit phishing-aanvallen, pogingen tot identiteitsdiefstal en andere individuele targeting zal aanwakkeren.

Twitter reageerde niet op de verzoeken om commentaar van WIRED. bedrijf boeken Over de API-kwetsbaarheid in de onthulling van augustus: “Toen we ons hiervan bewust werden, hebben we het onmiddellijk onderzocht en verholpen. Op dat moment hadden we geen aanwijzingen dat iemand de kwetsbaarheid had uitgebuit.” Blijkbaar was Twitter-telemetrie niet voldoende om kwaadaardig schrapen te detecteren.

Twitter is niet het eerste platform dat gegevens blootlegt voor massaal schrapen via een API-fout, en het is in dergelijke scenario’s gebruikelijk om Verwarring over hoeveel verschillende datasets er eigenlijk bestaan gevolg van kwaadwillig misbruik. Deze incidenten zijn echter nog steeds aanzienlijk, omdat ze verdere verbindingen en validatie toevoegen aan de enorme hoeveelheid gestolen gegevens die al aanwezig zijn in het criminele ecosysteem over gebruikers.

“Natuurlijk zijn er veel mensen die op de hoogte waren van deze API-kwetsbaarheid en veel mensen die het hebben verwijderd. Hebben verschillende mensen verschillende dingen geschraapt? Hoeveel begrafenissen zijn er? Maakt niet uit. Hunt verteerde de Twitter-dataset van HaveIBeenPwned en zei dat het informatie vertegenwoordigde over meer dan 200 miljoen accounts. Achtennegentig procent van de e-mailadressen was al openbaar gemaakt bij eerdere inbreuken die door HaveIBeenPwned zijn geregistreerd. Hunt zegt dat het e-mailmeldingen heeft verzonden naar bijna 1.064.000 van de 4.400.000 miljoen e-mailabonnees op zijn service.

“Het is de eerste keer dat ik ooit een zevencijferige e-mail heb verzonden”, zegt hij. “Bijna een kwart van mijn totale aantal abonnees is echt belangrijk. Maar aangezien veel hiervan al bekend was, denk ik niet dat dit een incident met een lange staart zou zijn in termen van impact. Ze wilden hun privacy behouden .”

Twitter schreef in augustus dat het deze bezorgdheid deelde over de mogelijkheid dat pseudonieme gebruikersaccounts worden gekoppeld aan hun echte identiteit als gevolg van de API-kwetsbaarheid.

“Als je een pseudoniem Twitter-account hebt, begrijpen we de risico’s die een incident als dit met zich mee kan brengen en we betreuren het ten zeerste dat dit is gebeurd”, schreef het bedrijf. Om uw identiteit zo anoniem mogelijk te houden, raden we u aan geen telefoonnummer of algemeen bekend e-mailadres toe te voegen aan uw Twitter-account.

Voor gebruikers die hun Twitter-handgrepen nog niet hebben gekoppeld aan brander-e-mailaccounts op het moment van schrapen, komt het advies echter te laat. In augustus zei het sociale netwerk dat het mogelijk getroffen personen op de hoogte had gebracht van de situatie. Het bedrijf zei niet of het verdere kennisgeving zou doen in het licht van de honderden miljoenen blootgestelde records.

Gegevensbeschermingscommissie van Ierland Hij zei Vorige maand onderzocht het een incident waarbij 5,4 miljoen e-mailadressen en telefoonnummers aan gebruikers werden onthuld. Twitter wordt momenteel ook onderzocht door de Amerikaanse Federal Trade Commission over de vraag of het bedrijf een “toestemmingsbesluit” heeft geschonden dat Twitter verplichtte de privacy van gebruikers en maatregelen voor gegevensbescherming te verbeteren.

Dit verhaal verscheen oorspronkelijk bedraad. com.