Iš „Twitter“ pavogta daugiau nei 200 mln. el. adresų, kurie paviešinti įsilaužėlių forume

parašė Ugnius Kiguolis - - 2023-01-13

Pavogta daug asmeninės „Twitter“ vartotojų informacijos

„Twitter“ kol kas nekomentuoja šio įvykio.

Kibernetinių nusikaltimų žvalgybos įmonė „Hudson Rock“^[1] trečiadienį patvirtino, kad kibernetiniai nusikaltėliai internetiniame įsilaužėlių forume paskelbė daugiau nei 200 milijonų „Twitter“ paskyrų duomenis, įskaitant el. pašto adresus, telefono numerius ir paskyrų vardus. Įsilaužėlis, pasivadinęs „Ryushi“ slapyvardžiu, jau spėjo prisiimti atsakomybę už šį duomenų paviešinimą ir pareikalavo iš „Twitter“ 200 000 JAV dolerių, kad juos ištrintų.

Deja, paviešinti duomenys veikiausiai yra tikri, nes „Bleeping Computer“ patvirtino daugelio el. pašto adresų galiojimą, kurie yra minimi nutekintoje informacijoje. Iš pradžių duomenų rinkiniai buvo sukurti 2021 metais, išnaudojant „Twitter“ API pažeidžiamumą^[2], leidusį vartotojams įvesti el. pašto adresus ir telefono numerius, siekiant patvirtinti, ar jie susieti su „Twitter“ ID. Atradus tinkamai neapsaugotą vietą, „Twitter“ iš karto paskelbė viešą pareiškimą, kuriame rašė^[3]:

„Norime pranešti apie pažeidžiamumą, leidusį kam nors įvesti telefono numerį arba el. pašto adresą prisijungimo eigoje, siekiant sužinoti, ar ta informacija buvo susieta su esama „Twitter“ paskyra ir, jei taip, su kokia konkrečia paskyra. Mes labai rimtai žiūrime į savo atsakomybę apsaugoti jūsų privatumą ir gaila, kad taip atsitiko.“

Šį rimtą trūkumą „Twitter“ ištaisė 2022 metų sausio mėnesį, tačiau keli internetiniai nusikaltėliai neseniai pradėjo nemokamai nutekinti duomenų rinkinius, kuriuos surinko daugiau nei prieš metus. Pirmasis 5,4 mln. vartotojų duomenų rinkinys buvo parduodamas 2022 metų liepos mėnesį už 30 000 JAV dolerių ir galiausiai buvo išleistas nemokamai lapkričio 27 dieną^[4]. Kitas duomenų rinkinys, kuriame buvo tikinama, jog yra išsaugota 17 mln. vartotojų duomenys, taip pat buvo platinamas privačiai, praėjusių metų lapkričio mėnesį^[5].

Stebina, kad socialinių tinklų naudojimas nėra įtakotas tokių privatumo politikos ir kibernetinio suagumo problemų. Kas kart vis kita platforma socialiniuose tinkluose nusižengia taisyklėms arba nukenčia nuo kibernetinės atakos ir tai paveikia naudotojų gyvenimus. Tačiau patys portalai ir jų veikla jau skatina žmones nugrimzti į problemų duobę.

Pavogti duomenys buvo paskelbti įsilaužėlių forume už 2 dolerius

2023 metų sausio 4 dieną kibernetinių įsilaužėlių forumo svetainėje buvo paskelbtas duomenų rinkinys, kuriame yra maždaug 221 milijono „Twitter“ vartotojų el. pašto adresai ir kita asmeninė informacija. Visa tai buvo patalpinta už 8 forumo valiutos kreditus, kurių vertė yra maždaug 2 JAV doleriai. Manoma, kad duomenų rinkinys yra toks pat kaip praėjusių metų lapkritį išplatintas 400 milijonų rinkinys, tačiau šis skiriasi tuo, jog buvo išvalytas nuo dublikatų.

Duomenys buvo paviešinti kaip RAR archyvas, sudarytas iš šešių tekstinių failų, kurių kiekviena eilutė atspindi „Twitter“ vartotoją ir jo duomenimis. Kiekviena duomenų eilutė parodo „Twitter“ naudotoją ir jo informaciją, įskaitant el. pašto adresus, vardus, slapyvardžius, sekėjų skaičių ir paskyros sukūrimo datą.

Šiuo metu neaišku, kas atsakingas už daugybės duomenų paviešinimą puikiai žinomoje įsilaužėlių forumo svetainėje. „Bleeping Computer“ susisiekė su „Twitter“, kad pakomentuotų šį duomenų nutekinimą, tačiau atsakymo taip ir negavo.

Specialiame puslapyje galima pasitikrinti, ar jūsų duomenys nebuvo nutekinti

Jei nerimaujate, kad jūsų el. pašto adresas galėjo būti įtrauktas į šį duomenų nutekinimą, galite tai patikrinti užsukę į Have I Been Pwned (HIBP) svetainę, kur sužinosite, ar jūsų informacija nebuvo pažeista. HIBP yra pranešimų apie duomenų pažeidimus paslauga, leidžianti vartotojams pamatyti, ar jų el. pašto adresas buvo įtrauktas į ankstesnius duomenų nutekinimus. Jei jūsų el. pašto adresas buvo įtrauktas į šį duomenų nutekinimą, norėdami apsisaugoti turėtumėte atlikti kelis svarbius veiksmus:

Pakeiskite slaptažodį visose paskyrose, kuriose naudojamas tas pats el. pašto adresas ir slaptažodis kaip ir jūsų „Twitter“ paskyroje.
Įjunkite dviejų veiksnių autentifikavimą savo paskyrose, kad sukurtumėte papildomą apsaugos lygį.
Elkitės labai atsargiai su bet kokiais įtartinais el. laiškais ar pranešimais, kuriais gali būti bandoma jus apgauti dėl asmeninės informacijos.

Jei jūsų el. pašto adresas buvo įtrauktas į šį duomenų nutekinimą, taip pat galite patirti įvairias nemalonias pasekmes. Pavyzdžiui, galite gauti šiukšlėms priskiriamus el. laiškus ar susidurti su sukčiavimo kampanijomis. Tad svarbu imtis visų įmanomų veiksmų, jog apsaugotumėte save ir savo informaciją ir taip sumažintumėte galimą duomenų pažeidimo poveikį.

Apie autorių

Ugnius Kiguolis - Virusų šalinimo ekspertas

Ugnius Kiguolis yra profesionalus virusų tyrėjas ir tinklalapio Virusai.lt įkūrėjas bei vyriausiasis redaktorius. Ugnius sukūrė Virusai.lt portalą 2004 metais, norėdamas informuoti visuomenę apie kibernetinius nusikaltimus.

Susisiekite su Ugnius Kiguolis
Apie kompaniją Esolutions

Šaltiniai

^ Hudson Rock Tweet. Twitter. Hudson Rock Profile.
^ Discoverability by phone number/email restriction bypass. Hackerone. Attack Resistance Management.
^ An incident impacting some accounts and private information on Twitter. Twitter. Privacy Center.
^ Olivia Powell. Twitter confirms data from 5.4 million accounts has been stolen. Cshub. Global cyber security news.
^ Zack Whittaker. A Twitter app bug was used to match 17 million phone numbers to user accounts. Techcrunch. Media & Entertainment Blog.

Skaityti kitomis kalbomis

• English