Twitter bestätigt verspätet Datenschutzverletzung, die Kontaktdaten von 5,4 Millionen Konten offengelegt hat [U]
Update: Twitter hat mit ziemlicher Verspätung bestätigt, dass ein Hacker die Kontodaten preisgeben konnte, obwohl das Unternehmen die 5,4-Millionen-Zahl nicht kommentiert hat. Siehe Aussage am Ende des Stücks.
EIN Twitter Die Datenschutzverletzung hat es einem Angreifer ermöglicht, Zugriff auf die Kontaktdaten von 5,4 Millionen Konten zu erhalten. Twitter hat das bestätigt Sicherheit Schwachstelle, die es ermöglichte, die Daten zu extrahieren.
bester Joystick für Elite gefährlich
Die Daten – die Twitter-Handles mit Telefonnummern und E-Mail-Adressen verknüpfen – wurden in einem Hacking-Forum für 30.000 US-Dollar zum Verkauf angeboten …
Privatsphäre wiederherstellen berichtet, dass der Verstoß durch eine im Januar entdeckte Schwachstelle ermöglicht wurde.
Eine verifizierte Twitter-Schwachstelle vom Januar wurde von einem Angreifer ausgenutzt, um angeblich Kontodaten von 5,4 Millionen Benutzern zu erhalten. Während Twitter die Schwachstelle inzwischen gepatcht hat, wird die Datenbank, die angeblich von diesem Exploit erworben wurde, jetzt in einem beliebten Hacking-Forum verkauft, das heute früher gepostet wurde.
Bereits im Januar wurde auf HackerOne eine Schwachstelle gemeldet, die es einem Angreifer ermöglicht, die mit Twitter-Konten verknüpfte Telefonnummer und/oder E-Mail-Adresse zu erhalten, selbst wenn der Benutzer diese Felder in den Datenschutzeinstellungen ausgeblendet hat […]
Ein Angreifer verkauft nun die angeblich aus dieser Schwachstelle gewonnenen Daten. Heute früh bemerkten wir einen neuen Benutzer, der die Twitter-Datenbank auf Breached Forums verkaufte, dem berühmten Hacking-Forum, das Anfang dieses Monats mit einem Datenleck, bei dem über 1 Milliarde chinesische Einwohner aufgedeckt wurden, internationale Aufmerksamkeit erlangte.
Der Beitrag ist jetzt noch live, wobei die Twitter-Datenbank angeblich aus 5,4 Millionen Nutzern besteht, die zum Verkauf stehen. Der Verkäufer im Hacking-Forum trägt den Benutzernamen „devil“ und behauptet, dass der Datensatz „Celebrities, to Companies, randoms, OGs, etc.“ enthält.
Der Besitzer des Hacking-Forums hat die Echtheit des Angriffs bestätigt und Privatsphäre wiederherstellen sagt auch, dass zwei Beispiele der Datenbank auschecken.
Wir haben die Beispieldatenbank zur Überprüfung und Analyse heruntergeladen. Es umfasst Personen aus der ganzen Welt mit öffentlichen Profilinformationen sowie die E-Mail-Adresse oder Telefonnummer des Twitter-Benutzers, die mit dem Konto verwendet wird.
Alle Proben, die wir uns angesehen haben, stimmen mit Menschen aus der realen Welt überein, die leicht mit öffentlichen Profilen auf Twitter überprüft werden können.
Das Privatsphäre site kontaktierte den Verkäufer und erfuhr, dass der Preis der Datenbank 30.000 US-Dollar betrug.
HackerOne deckte die Schwachstelle bereits im Januar ab, die es jedem ermöglichte, eine Telefonnummer oder E-Mail-Adresse einzugeben und dann die zugehörige Twitter-ID zu finden. Dies ist eine interne Kennung, die von Twitter verwendet wird, aber leicht in ein Twitter-Handle umgewandelt werden kann.
Wie zerlegt man den Xbox One Controller?
Dies ist eine ernsthafte Bedrohung, da Benutzer nicht nur Benutzer finden können, die die Fähigkeit, per E-Mail/Telefonnummer gefunden zu werden, eingeschränkt haben, sondern jeder Angreifer mit Grundkenntnissen in Skripterstellung/Codierung einen großen Teil der Twitter-Benutzerbasis aufzählen kann, für die er nicht verfügbar ist vorherige Aufzählung (erstellen Sie eine Datenbank mit Verbindungen von Telefon/E-Mail zu Benutzernamen). Solche Basen können zu Werbezwecken an böswillige Parteien verkauft werden oder um Prominente in verschiedene böswillige Aktivitäten zu verwickeln.
Eine weitere coole Funktion, die ich entdeckt habe, ist, dass Sie mit dieser Methode sogar die IDs von gesperrten Twitter-Konten finden können.
Es ist wahrscheinlich, dass der Angreifer vorhandene Datenbanken mit Telefonnummern und E-Mail-Adressen erhalten hat, die er bei Verstößen gegen andere Dienste erhalten hat, und diese Details dann verwendet hat, um nach entsprechenden Twitter-IDs zu suchen.
Es gibt noch keine Möglichkeit zu überprüfen, ob Ihr Konto von der Twitter-Datenpanne betroffen ist. Es zahlt sich wie immer aus Seien Sie wachsam gegenüber Phishing-Angriffen – E-Mails, die vorgeben, von Apple, Ihrer Bank, PayPal, E-Mail-Anbieter usw. zu stammen, und die Sie auffordern, sich bei Ihrem Konto anzumelden.
Gängige Phishing-Taktiken sind eine Nachricht, die Ihnen mitteilt, dass Ihr Konto möglicherweise gelöscht wird, oder das Senden einer gefälschten Quittung für einen hochwertigen Kauf zusammen mit einem Link, um die Belastung anzufechten.
Der wichtigste Schutz hier ist noch nie Klicken Sie auf Links, die in E-Mails gesendet wurden. Verwenden Sie immer Ihre eigenen Lesezeichen oder geben Sie eine bekannte URL ein.
Update: Twitter bestätigt nun den Verstoß
Twitter hatte zuvor die Existenz der Schwachstelle bestätigt, sich aber nicht dazu geäußert, dass sie ausgenutzt wurde. Das Unternehmen hat dies nun getan , und versprach, betroffene Benutzer zu kontaktieren.
Dieser Fehler resultierte aus einer Aktualisierung unseres Codes im Juni 2021. Als wir davon erfuhren, haben wir ihn sofort untersucht und behoben. Zu diesem Zeitpunkt hatten wir keine Hinweise darauf, dass jemand die Schwachstelle ausgenutzt hätte.
Samsung Galaxy Book vs Surface ProIm Juli 2022 erfuhren wir durch einen Pressebericht, dass jemand dies möglicherweise ausgenutzt hatte und anbot, die von ihm zusammengestellten Informationen zu verkaufen. Nachdem wir eine Stichprobe der zum Verkauf stehenden Daten überprüft hatten, bestätigten wir, dass ein Angreifer das Problem ausgenutzt hatte, bevor es angegangen wurde.
Wir werden die Kontoinhaber direkt benachrichtigen, von denen wir bestätigen können, dass sie von diesem Problem betroffen sind.