10:22
26/12/2022

Trzy dni temu na forum dla cyberprzestępców pojawił się wpis użytkownika Ryushi, który twierdzi, że pozyskał bazę ponad 400 milionów użytkowników Twittera. Autor szantażuje Elona Muska. Chce mu sprzedać tę bazę, strasząc że za podobny wyciek Facebook musiał zapłacić karę 276 milionów dolarów ze względu na RODO/GDPR.

Ujawnione dane zostały potwierdzone, ale…

Ryushi wrzucił kilka rekordów z bazy, dotyczących znanych osób, a niektórzy “cyberaktywiści” je potwierdzili, dzwoniąc na podane numery. Opublikowane w poście dane są więc prawdziwe. Ale, czy baza 400 milionów użytkowników naprawdę istnieje? Czy wiadomo kiedy i jak powstała? I czy musisz teraz zmienić hasło do swojego konta na Twitterze?

Zacznijmy od tego, że we wpisie Ryushi pojawia się informacja o “scrapingu”, a w zaprezentowanej próbce nie ma ani haseł użytkowników ani ich hashy. Dla porządku przytoczmy, to co jest:

    Adres E-mail,
    Imię i nazwisko*
    Nazwa użytkownika Twittera*
    Liczba śledzących*
    Data założenia konta*
    Numer Telefonu

Naszym zdaniem, zaprezentowane jako dowód istnienia bazy dane mogą nawet pochodzić z zupełnie innego źródła niż Twitter. Dane oznaczone gwiazdką można odczytać wprost z czyjegoś profilu na Twitterze, przez przeglądarkę, a e-mail i numer telefonu skompletować na bazie innych wycieków.

Jeśli dane pochodzą z Twittera, to w naszej ocenie Ryushi wykorzystał jakąś słabość w API, być może nawet tę samą, o której głośno było jakiś czas temu. Wskazywać na to może inna wypowiedź tego samego aktora, która — jeśli jej wierzyć — wskazuje też na zakres czasowy pozyskania danych:

Twitter patched this in early 2022 so breach data is 2021 to 2022

Metody API w wielu serwisach pozwalają na “lepsze” wyszukiwanie użytkowników, często po szczątkowych lub zupełnie innych danych niż zezwala na to interfejs WWW (por. Wyciek danych użytkowników politycznej aplikacji Szymona Hołowni). Dlatego ich nadużycie jest modne, także w środowiskach OSINT-owych. Jeden z takich błędów API opisywaliśmy rok temu w kontekście operatora Plus (por. Fatalna wpadka Plusa, każdy mógł pobrać dane klientów). Można było wtedy pozyskać komplet danych właściciela karty SIM, od e-maila, przez adres zamieszkania, aż do PESEL-u.

Tematowi API, a dokładniej pozyskiwaniu za pomocą różnych API informacji na temat osób i firm poświęciliśmy sporą część naszego Internetowego Kursu OSINT-u.

W tym kursie znajdziecie też rozległą lekcję tzw. rekonesansu technicznego, który pokazuje jak przy pomocy pozyskanych szczątkowych danych dotyczących osoby lub firmy, za pomocą odpowiednich technik (w tym różnych API) ustalić zdecydowanie więcej informacji na temat celu.

Dla przypomnienia: uczestnictwo w naszym Kursie OSINT to takżę dostęp do grupy ponad 35000 osób z różnych branż, którzy wzajemnie sobie pomagają i nie raz pokazali, że potrafią zrobić użytek z różnych osintowych technik (por.Kto stoi za podejrzaną zbiórką na Franka?).

Mam konto na Twitterze — co robić, jak żyć?

Wracając jednak do przypadku tego “wycieku z Twittera”… Jeśli okaże się prawdziwy, to i tak nie będzie zawierać haseł. Na pewno nie musisz więc zmieniać swojego hasła do Twittera. Możesz natomiast rozważyć zmianę adresu e-mail i numeru telefonu, które udostępniłeś Twitterowi, jeśli uważasz że ich ujawnienie może Cię narazić na niechciane kontakty.

Jeśli numeru telefonu nie zmienisz, to przynajmniej bądź bardziej wyczulony na wiadomości, które w tych dwóch kanałach komunikacyjnych będziesz otrzymywać rzekomo związane z Twitterem. To mogą być wiarygodne próby phishingu mające na celu przejęcie Twojego konta.

Aktualnie bycie użytkownikiem Twittera to codziennie seria ostrych zakrętów i kolejnych niewiadomych, ale to wszystko to nie wynik ataków hackerskich, a dojścia do władzy Elona Muska.

PS. A jeśli jesteś programistą i chciałbyś dowiedzieć się jak poprawnie zabezpieczyć swoje API przed nadużyciem, to zapraszamy na nasze szkolenie z Atakowania i Ochrony Webaplikacji. Tutaj znajdziesz najbliższe terminy i miasta, a jeśli masz budżet szkoleniowy, który musisz wydać w tym roku, to kup nasz voucher, dzięki czemu będziesz mógł wziąć udział w dowolnym terminie tego szkolenia w 2023.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

7 komentarzy

Dodaj komentarz
  1. Kolega pyta co to za forum

  2. A jeżeli logowałem się za pomocą konta google?

  3. A co wy na ostatnie informacje z darknetu dot. API allegro w którym ktoś rzucił logiem tego co widzi/CDA.pl też podobno dostało atakiem i baza jest na sprzedaż?

  4. nie jestem zaskoczony, kiedy ostatnio był dzień bez wiadomości, że twitter ma jakieś problemy?

  5. Zmiana numeru i maila nic nie da, bo te dane juz wyciekly. Stawiam na bylego pracownika.

  6. Hehehe.. mój e-mail i numer telefonu są dostępne od dziesięcioleci na WWW, tak więc spoko… *ziew*

  7. Wygląda na to, że Elon wszedł w niezłe bagno z tym zakupem Ćwierkacza.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: