Ocak ayında sabit bir API güvenlik açığı kullanılarak çalınan halka açık olmayan bilgileri içeren 5.4 milyondan fazla Twitter kullanıcı kaydı, bir hacker forumunda ücretsiz olarak paylaşıldı.
Milyonlarca Twitter kaydının bir başka büyük, potansiyel olarak daha önemli veri dökümü de bir güvenlik araştırmacısı tarafından açıklandı ve bu hatanın tehdit aktörleri tarafından ne kadar yaygın olarak istismar edildiğini gösterdi.
Veriler, kazınmış halka açık bilgilerden yanı sıra özel telefon numaralarından ve kamuya açıklanmayan e -posta adreslerinden oluşur.
Geçen Temmuz ayında bir tehdit oyuncusu, bir hack forumunda 5.4 milyondan fazla Twitter kullanıcısının özel bilgilerini 30.000 dolara satmaya başladı.
Verilerin çoğu Twitter kimlikleri, adlar, giriş adları, konumlar ve doğrulanmış durum gibi genel bilgilerden oluşurken, telefon numaraları ve e -posta adresleri gibi özel bilgileri de içeriyordu.
Bu veriler Aralık 2021'de, HackerOne Böcek Bounty programında açıklanan bir Twitter API güvenlik açığı kullanılarak toplanmıştır.
Bu kimliği kullanarak, tehdit aktörleri daha sonra aşağıda gösterildiği gibi hem özel hem de kamuya açık bilgileri içeren bir kullanıcı kaydı oluşturmak için hesap hakkındaki genel bilgileri kazıyabilir.
Hackerone ifşasının sızdırılıp sızdırılmadığı belirsizdir, ancak BleepingComputer'a birden fazla tehdit aktörünün Twitter'dan özel bilgileri çalmak için hatayı kullandığı söylendi.
BleepingComputer, Twitter ile kullanıcı kayıtlarının bir örneğini paylaştıktan sonra, sosyal medya şirketi Ocak 2022'de sabit bir API hatası kullanarak veri ihlali yaşadıklarını doğruladı.
İhlal edilen hack forumunun sahibi Pompompurin, bu hafta sonu BleepingComputer'a, hatayı kullanmaktan ve 'Şeytan' olarak bilinen başka bir tehdit aktörünün güvenlik açığını paylaşmasından sonra Twitter kullanıcı kayıtlarının büyük dökümünü oluşturmaktan sorumlu olduklarını söyledi.
Satılık 5.4 milyon kayda ek olarak, farklı bir API kullanılarak toplanan askıya alınmış kullanıcılar için 1,4 milyon Twitter profili de vardı ve bu da toplamı özel bilgiler içeren yaklaşık 7 milyon Twitter profiline getirdi.
Pompompurin, bu ikinci veri dökümünün satılmadığını ve sadece birkaç kişi arasında özel olarak paylaşıldığını söyledi.
Eylül ayında ve şimdi daha yakın zamanda, 24 Kasım'da, 5.4 milyon Twitter rekoru şimdi bir hack forumunda ücretsiz olarak paylaşıldı.
Pompompurin, BleepingComputer'a bunun Ağustos ayında satılık veriler olduğunu ve 5.485.635 Twitter kullanıcı kaydı içerdiğini doğruladı.
Bu kayıtlar, özel bir e -posta adresi veya telefon numarası içerir ve hesabın Twitter kimliği, adı, ekran adı, doğrulanmış durum, konum, URL, açıklama, takipçi sayısı, hesap oluşturma tarihi, arkadaşlar sayımı, favoriler sayımı dahil olmak üzere genel kazınmış veriler içerir. Durumlar sayılır ve profil görüntü URL'leri.
Tehdit aktörlerinin ücretsiz olarak 5,4 milyon kaydı yayınlaması ile ilgili olsa da, aynı güvenlik açığı kullanılarak daha da büyük bir veri dökümü oluşturuldu.
Bu veri dökümü potansiyel olarak aynı API hatası kullanılarak toplanan kişisel telefon numaralarından oluşan on milyonlarca Twitter kaydı ve doğrulanmış durum, hesap adları, twitter kimliği, biyografi ve ekran adı dahil olmak üzere genel bilgiler içerir.
Bu daha önemli veri ihlalinin haberi, Twitter'da haberleri ilk kez kıran ve yayınlandıktan kısa bir süre sonra askıya alınan güvenlik uzmanı Chad Loder'dan geliyor. Loder daha sonra Mastodon'daki bu daha büyük veri ihlalinin düzeltilmiş bir örneğini yayınladı.
Diyerek şöyle devam etti: "AB ve ABD'de milyonlarca Twitter hesabını etkileyen büyük bir Twitter veri ihlali olduğuna dair kanıt aldım. Etkilenen hesapların bir örneğiyle temasa geçtim ve ihlal edilen verilerin doğru olduğunu doğruladılar. Bu ihlal 2021'den önce gerçekleşmedi," Loder Twitter'da paylaştı.
BleepingComputer, Fransa'daki kullanıcılar için 1.377.132 telefon numarası içeren daha önce bilinmeyen bu Twitter veri dökümünün örnek bir dosyasını aldı.
O zamandan beri bu sızıntıda çok sayıda kullanıcı ile telefon numaralarının geçerli olduğunu onayladık, bu ek veri ihlalini doğrulamak gerçek.
Ayrıca, bu telefon numaralarının hiçbiri Ağustos ayında satılan orijinal verilerde mevcut değildir, bu da Twitter'ın veri ihlalinin daha önce açıklanandan ne kadar daha büyük olduğunu ve tehdit aktörleri arasında dolaşan büyük miktarda kullanıcı verisinin olduğunu göstermez.
Pompompurin ayrıca BleepingComputer ile sorumlu olmadıklarını doğruladı ve bu yeni keşfedilen veri dökümünü kimin oluşturduğunu bilmiyorlardı, bu da diğer insanların bu API güvenlik açığını kullandığını gösterdi.
BleepingComputer, yeni keşfedilen bu veri dökümünü, Avrupa, İsrail ve ABD de dahil olmak üzere ülke ve alan kodları tarafından parçalanmış çok sayıda dosyadan oluştuğunu öğrendi.
Bize 17 milyondan fazla kayıttan oluştuğu, ancak bunu bağımsız olarak onaylayamadığı söylendi.
Bu veriler, giriş bilgilerine erişmek için hedeflenen kimlik avı saldırılarının potansiyel olarak kullanabileceğinden, Twitter'dan geldiğini iddia eden herhangi bir e -postayı incelemek önemlidir.
Hesabınızın askıya alındığını iddia eden bir e-posta alırsanız, oturum açma sorunları var veya doğrulanmış durumunuzu kaybetmek üzereyseniz ve twitter olmayan bir etki alanına giriş yapmanızı, e-postaları görmezden gelmenizi ve oldukları gibi silmenizi ister. Muhtemelen kimlik avı girişimleri.
BleepingComputer, bu ek veri dökümü hakkında Perşembe günü Twitter'a ulaştı, ancak henüz bir yanıt almadı.
Twitter, 5.4 milyon hesaptan verilen verileri ortaya çıkarmak için kullanılan sıfır gününü onaylar
Whoosh, bilgisayar korsanları 7.2m kullanıcı kayıtları sattıktan sonra veri ihlalini onaylıyor
MyDeal Veri ihlali 2.2m kullanıcıları etkiler, çevrimiçi satış için çalınan veriler
Optus Hacker özür diliyor ve tüm çalınan verileri siliyor
Hackerlar, durdurulan web sunucusundaki hatalar aracılığıyla enerji orgs'u ihlal ediyor
Kaynak: Bleeping Computer