Twitter: Διαρροή 200 εκατομμυρίων e-mail διευθύνσεων από hackers

[Crash24]

Τα ονόματα χρηστών και οι διευθύνσεις ηλεκτρονικού ταχυδρομείου που ανήκουν σε περισσότερους από 200 εκατομμύρια χρήστες του Twitter έχουν αναρτηθεί στο διαδίκτυο από hackers.

Σύμφωνα με αναφορές ερευνητών ασφαλείας και μέσων ενημέρωσης, συμπεριλαμβανομένου του BleepingComputer, τα διαπιστευτήρια συγκεντρώθηκαν από διάφορες προηγούμενες παραβιάσεις του Twitter που χρονολογούνται από το 2021. Παρόλο που η βάση δεδομένων δεν περιλαμβάνει τους κωδικούς πρόσβασης των χρηστών, εντούτοις αποτελεί απειλή για την ασφάλεια όσων έχουν πληγεί.

«Πρόκειται για μια από τις πιο σημαντικές διαρροές που έχω δει», δήλωσε ο Alon Gal, συνιδρυτής της ισραηλινής εταιρείας κυβερνοασφάλειας Hudson Rock, σε ανάρτηση που περιγράφει το hack στο LinkedIn. «Πρόκειται να οδηγήσει δυστυχώς σε πολλά hacking, στοχευμένο phishing και doxxing».

Οι εκτιμήσεις σχετικά με τον ακριβή αριθμό των χρηστών που επηρεάστηκαν από την παραβίαση ποικίλλουν, εν μέρει λόγω της τάσης τέτοιων μεγάλης κλίμακας data dumps να περιλαμβάνουν διπλοεγγραφές. Τα screenshots της βάσης δεδομένων που μοιράστηκε το BleepingComputer δείχνουν ότι περιέχει μια σειρά από αρχεία κειμένου που απαριθμούν διευθύνσεις ηλεκτρονικού ταχυδρομείου και συνδεδεμένα ονόματα χρηστών Twitter, καθώς και τα πραγματικά ονόματα των χρηστών (αν οι χρήστες τα είχαν κοινοποιήσει στο Twitter), τον αριθμό των follower τους και τις ημερομηνίες δημιουργίας λογαριασμών. Το BleepingComputer δήλωσε ότι «επιβεβαίωσε ότι πολλές από τις διευθύνσεις ηλεκτρονικού ταχυδρομείου που αναφέρονται στη διαρροή είναι έγκυρες» και ότι η βάση δεδομένων πωλείται σε ένα hacking forum για μόλις 2 δολάρια.

Ο Troy Hunt, δημιουργός του ιστότοπου προειδοποίησης για την κυβερνοασφάλεια Have I Been Pwned, ανέλυσε επίσης την παραβίαση και μοιράστηκε τα συμπεράσματά του στο Twitter: «Βρέθηκαν 211.524.284 μοναδικές διευθύνσεις ηλεκτρονικού ταχυδρομείου, φαίνεται να είναι λίγο πολύ αυτό που περιγράφεται».

Η παραβίαση έχει πλέον προστεθεί στα συστήματα του Have I been Pwned, πράγμα που σημαίνει ότι οποιοσδήποτε μπορεί να επισκεφθεί τον ιστότοπο και να εισάγει τη διεύθυνση ηλεκτρονικού ταχυδρομείου του για να δει αν αυτή συμπεριλαμβάνεται στη βάση δεδομένων που διέρρευσε. 

Η προέλευση της βάσης δεδομένων φαίνεται να εντοπίζεται στο 2021, αναφέρει η Washington Post, όταν οι hackers ανακάλυψαν μια ευπάθεια στα συστήματα ασφαλείας του Twitter. Το ελάττωμα επέτρεπε σε κακόβουλους φορείς να αυτοματοποιήσουν την αναζήτηση λογαριασμών - εισάγοντας μαζικά διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου για να δουν αν συνδέονται με λογαριασμούς Twitter.

Το Twitter αποκάλυψε αυτή την ευπάθεια τον Αύγουστο του 2022, λέγοντας ότι είχε διορθώσει το ζήτημα τον Ιανουάριο του ίδιου έτους, αφού είχε αναφερθεί ως bug bounty. Η εταιρεία ισχυρίστηκε τότε ότι «δεν είχε κανένα στοιχείο που να υποδηλώνει ότι κάποιος είχε εκμεταλλευτεί την ευπάθεια», αλλά οι ειδικοί σε θέματα ασφάλειας στον κυβερνοχώρο είχαν ήδη εντοπίσει βάσεις δεδομένων με διαπιστευτήρια του Twitter προς πώληση τον Ιούλιο του ίδιου έτους. Αυτή η πιο πρόσφατη βάση δεδομένων με περισσότερους από 200 εκατομμύρια λογαριασμούς φαίνεται να έχει τις ρίζες της σε αυτή την προ ετών ευπάθεια, η οποία πέρασε απαρατήρητη από το Twitter για περίπου επτά μήνες.

Η παραβίαση είναι μόνο το τελευταίο μελόδραμα σε ότι αφορά την ασφάλεια του Twitter, το οποίο εδώ και καιρό αγωνίζεται να προστατεύσει τα δεδομένα των χρηστών του. Η εταιρεία ερευνάται ήδη από την ΕΕ για την παραβίαση (βάσει των πρώτων αναφορών τον Ιούλιο του 2022) και ελέγχεται από την FTC για παρόμοια κενά ασφαλείας. Τον περασμένο Αύγουστο, ο πρώην επικεφαλής ασφαλείας του Twitter, Peiter "Mudge" Zatko, έγινε πληροφοριοδότης της εταιρείας, καταθέτοντας καταγγελία στην κυβέρνηση των ΗΠΑ, στην οποία υποστήριζε ότι η εταιρεία κάλυπτε "κατάφωρες ελλείψεις" στις προσπάθειες άμυνας από κυβερνοεπιθέσεις.

Διαβάστε ολόκληρο το άρθρο

[klaftop]

Για μένα είδηση είναι οτι εχει 200 εκατ λογαριασμους!

[gnoe]

'Α βρε Έλον, σε έχει βάλει το 'βαθύ κράτος' των 'δημοκρατικών' στο μάτι. 😉

[killer76]

Τι άλλο θα το βρει αυτό το ταλαίπωρο το social???

[MauroPaltoudias]

Spoiler

Εμένα με διασκεδάζουν πολύ πάντως, οι εξελίξεις αυτές των social (λαϊκά δικαστήρια, γνώση και γνώμη σε όλα, διαρροές προσωπικών και μη, στοιχείων κ.λπ.)

 

[giorgosk12]

Πέφτω απ τα σύννεφα!

[panos2310]

Διατίθεται δωρεάν καθώς οι hackers (θεωρούμε ότι δεν είναι insider job), τα έχουν πάρει ήδη τα λεφτά τους για να μην τα διαρρεύσουν πριν την πώληση.

 

[Giorgos20177]

η αμηχανη στιγμη που η ιδια η εταιρια δινει τα email σε διαφημιστηκες κτλπ εταιριες με το αζημειωτο φυσικα ................................................................

[Επισκέπτης]

Πας να δουλέψεις σε καινούργιο εργοδότη, βρίσκει βάσει e-mail το username σου στο twitter και από αυτό μετά βλέπει όλες τις βλακείες που νόμιζες ότι έλεγες "ανώνυμα". Όμορφος κόσμος αγγελικά πλασμένος.

[george1807]

1 ώρα πριν, gnoe είπε

'Α βρε Έλον, σε έχει βάλει το 'βαθύ κράτος' των 'δημοκρατικών' στο μάτι. 😉

Η προέλευση της βάσης δεδομένων φαίνεται να εντοπίζεται στο 2021, αναφέρει η Washington Post, όταν οι hackers ανακάλυψαν μια ευπάθεια στα συστήματα ασφαλείας του Twitter.

[ikaruga24]

Ενώ σε οποιαδήποτε άλλη υπηρεσία ή πλατφόρμα social media είναι εξοπλισμένοι σαν αστακοί για να πολεμήσουν τέτοια φαινόμενα. 

[patentas11]

Τι καλοί είναι αυτοί οι χάκερ ρε παιδί μου.. Πόσο τυχαία την "πατάνε" μερικοί οταν πάνε κόντρα στο "σύστημα"... Πόσο υποκρισία αυτή η δημοκρατική κοινωνία που μάλλον δνε αντέχει την πολύ δημοκρατία!

[asmilon]

1 ώρα πριν, random_dude είπε

Πας να δουλέψεις σε καινούργιο εργοδότη, βρίσκει βάσει e-mail το username σου στο twitter και από αυτό μετά βλέπει όλες τις βλακείες που νόμιζες ότι έλεγες "ανώνυμα". Όμορφος κόσμος αγγελικά πλασμένος.

Γιατι να χρησιμοποιησεις το ιδιο email για το twitter και την ευρεση εργασιας, ειδικοτερα αν θεωρεις πως το ενα δε θα εξυπηρετησει το αλλο;

[Επισκέπτης]

9 λεπτά πριν, asmilon είπε

Γιατι να χρησιμοποιησεις το ιδιο email για το twitter και την ευρεση εργασιας, ειδικοτερα αν θεωρεις πως το ενα δε θα εξυπηρετησει το αλλο;

Εδώ χρησιμοποιούν το ίδιο password παντού, e-mail θα άλλαζαν;

[Taoustaoys]

1 ώρα πριν, random_dude είπε

Πας να δουλέψεις σε καινούργιο εργοδότη, βρίσκει βάσει e-mail το username σου στο twitter και από αυτό μετά βλέπει όλες τις βλακείες που νόμιζες ότι έλεγες "ανώνυμα". Όμορφος κόσμος αγγελικά πλασμένος.

Η απλά δεν γράφεις βλακείες, δεν χρειάζεται, δεν θα αλλάξεις το κόσμο, δεν θα σε λάβει κανείς υπόψιν .