Po zgłoszeniach o godz pod koniec 2022 r., kiedy hakerzy sprzedawali dane skradzione 400 milionom użytkowników Twittera, badacze twierdzą teraz, że szeroko rozpowszechniony zbiór adresów e-mail powiązanych z około 200 milionami użytkowników jest prawdopodobnie udoskonaloną wersją większego zbioru z usuniętymi duplikatami wpisów. Sieć społecznościowa nie skomentowała jeszcze masowego ujawnienia, ale pamięć podręczna danych wyjaśnia powagę wycieku i kto może być najbardziej zagrożony w jego wyniku.
Od czerwca 2021 r. do stycznia 2022 r. w interfejsie programowania aplikacji Twittera (API) występował błąd, który umożliwiał atakującym przesyłanie informacji kontaktowych, takich jak adresy e-mail, i otrzymywanie w zamian powiązanego konta na Twitterze, jeśli takie istnieje. Zanim została załatana, napastnicy wykorzystali lukę do „zeskrobania” danych z sieci społecznościowej. I chociaż błąd nie pozwolił hakerom na dostęp do haseł lub innych poufnych informacji, takich jak DM, ujawnił połączenie między kontami na Twitterze, które często są pseudonimizowane, a powiązanymi z nimi adresami e-mail i numerami telefonów, potencjalnie identyfikującymi użytkowników.
Podczas gdy luka była aktywna, najwyraźniej była wykorzystywana przez wielu aktorów do tworzenia różnych kolekcji danych. Jeden, który krąży na forach przestępczych od lata, zawiera adresy e-mail i numery telefonów około 5,4 miliona użytkowników Twittera. Wydaje się, że ta ogromna, nowo ujawniona skarbnica zawiera tylko adresy e-mail. Jednak powszechny obieg danych stwarza ryzyko, że będą one podsycać ataki phishingowe, próby kradzieży tożsamości i inne indywidualne ataki.
Twitter nie odpowiedział na prośby WIRED o komentarz. Przedsiębiorstwo napisał o luce API w sierpniowym ujawnieniu: „Kiedy dowiedzieliśmy się o tym, natychmiast zbadaliśmy to i naprawiliśmy. W tamtym czasie nie mieliśmy żadnych dowodów sugerujących, że ktoś wykorzystał tę lukę”. Najwyraźniej telemetria Twittera była niewystarczająca do wykrycia złośliwego scrapingu.
Twitter nie jest pierwszą platformą, która naraża dane na masowe pobieranie danych przez lukę w interfejsie API, a w takich scenariuszach często pojawia się niejasność co do tego, ile różnych zbiorów danych faktycznie istnieje w wyniku złośliwego wykorzystania. Incydenty te są jednak nadal znaczące, ponieważ dodają więcej powiązań i weryfikacji do ogromnego zbioru skradzionych danych, które już istnieją na temat użytkowników w ekosystemie przestępczym.
„Oczywiście jest wiele osób, które były świadome tej luki w zabezpieczeniach API i wiele osób, które ją zeskrobały. Czy różni ludzie drapali różne rzeczy? Ile jest trofeów? To nie ma znaczenia” — mówi Troy Hunt, założyciel strony HaveIBeenPwned do śledzenia naruszeń. Hunt pobrał zestaw danych z Twittera do HaveIBeenPwned i twierdzi, że zawiera on informacje o ponad 200 milionach kont. Dziewięćdziesiąt osiem procent adresów e-mail zostało już ujawnionych w poprzednich naruszeniach zarejestrowanych przez HaveIBeenPwned. Hunt twierdzi, że wysłał e-maile z powiadomieniami do prawie 1 064 000 z 4 400 000 milionów subskrybentów jego usługi.
„Po raz pierwszy wysłałem siedmiocyfrowego e-maila” — mówi. „Prawie jedna czwarta całego mojego korpusu abonentów jest naprawdę znacząca. Ale ponieważ tak wiele z tego już tam było, nie sądzę, że będzie to incydent, który ma długi ogon pod względem wpływu. Ale może de-anonimizować ludzi. Bardziej martwię się o osoby, które chciały zachować swoją prywatność”.
