Kaynak: DALL-E
İrlanda Veri Koruma Komisyonu (DPC), büyük bir Twitter veri sızıntısına ilişkin geçen ay çıkan haberlerin ardından bir soruşturma başlattı.
Bu sızıntı 5,4 milyondan fazla Twitter kullanıcısını etkiledi ve hem siteden kazınmış genel bilgileri hem de özel telefon numaralarını ve e-posta adreslerini içeriyordu. Veriler, Twitter’ın Ocak ayında düzelttiği bir API güvenlik açığından yararlanılarak elde edildi.
İrlanda gizlilik düzenleyicisi Cuma günü yaptığı açıklamada, “DPC, TIC’in veri kümelerini oluşturmak ve sorguları oluşturmak için kullanılan kaynak güvenlik açığı olduğunu iddia ettiği bildirilen bir kişisel veri ihlaliyle ilgili olarak Twitter International Unlimited Company’ye (‘TIC’) karşılık geldi. GDPR uyumluluğu ile ilgili olarak.”
Ayrıca, “GDPR ve/veya Kanun’un bir veya daha fazla hükmünün Twitter Kullanıcılarının kişisel verileriyle ilgili olarak ihlal edilmiş olabileceğine ve/veya edilmekte olduğuna” inandığını da sözlerine ekledi.
Twitter’ın önde gelen AB bekçisi olarak hizmet veren DPC, sosyal medya devinin kullanıcı verilerinin işlenmesiyle ilgili bir veri denetleyicisi olarak yükümlülüklerini yerine getirip getirmediğini ve Genel Veri Koruma Yönetmeliği’nin (AB GDPR) herhangi bir hükmünü ihlal edip etmediğini belirlemek istiyor. veya Veri Koruma Yasası 2018.
İki yıl önce DPC, GDPR’nin gerektirdiği 72 saatlik süre içinde DPC’ye bir ihlali bildirmediği ve ihlalin yetersiz belgelendiği için Twitter’a 450.000 € (~550.000$) para cezası verdi.
Kasım 2021’de DPC, Facebook’ta dünya çapında yüz milyonlarca kullanıcının kişisel bilgilerini ifşa eden büyük bir veri sızıntısı nedeniyle Meta’ya 265 milyon € (275,5 milyon $) para cezası verdi.
Facebook kullanıcı verileri, iyi bilinen bir bilgisayar korsanlığı forumunda da paylaşılarak tehdit aktörlerinin hedefli saldırılar için kullanmasına izin verildi.
Çalınan Twitter kullanıcı verileri Temmuz’dan beri satışa çıkıyor
Temmuz 2022’de 5,4 milyondan fazla Twitter kullanıcısının özel bilgileri, bir bilgisayar korsanlığı forumunda 30.000 dolara satışa sunuldu.
Twitter kimlikleri, adlar, oturum açma adları, konumlar ve doğrulama durumu gibi verilerin çoğu halka açıkken, sızdırılan veritabanı e-posta adresleri ve telefon numaraları gibi halka açık olmayan bilgileri de içeriyordu.
Bu veriler, Aralık 2021’de herkesin API’ye telefon numaraları veya e-posta adresleri göndererek ilişkili Twitter kimliklerine bağlamasına izin veren HackerOne hata ödül programı aracılığıyla ifşa edilen bir Twitter API güvenlik açığı aracılığıyla toplanmıştır.
BleepingComputer, çalınan kullanıcı kayıtlarının bir örneğini Twitter ile paylaştıktan sonra, Ocak 2022’de düzeltilen bu API hatasını kullanan saldırganlarla bağlantılı bir veri ihlali yaşadığını doğruladı.
BleepingComputer, hatanın Breached bilgisayar korsanlığı forumunun sahibi Pompompurin tarafından kullanıldığını ve ayrıca farklı bir API kullanarak askıya alınan 1,4 milyon Twitter kullanıcısının bilgilerini topladığını tespit etti. Bu, özel bilgiler için kazınan toplam Twitter profili sayısını neredeyse 7 milyona çıkardı.
Eylül ve Kasım aylarında, 5.485.635 Twitter kullanıcı kaydını içeren aynı veri tabanı, bir bilgisayar korsanlığı forumunda da ücretsiz olarak paylaşıldı.
Kayıtlar, kişisel e-posta adresleri veya telefon numaralarının yanı sıra Twitter kimliği, ad, ekran adı, doğrulanmış durum, konum, URL, açıklama, takipçi sayısı gibi herkese açık olarak kazınmış veriler dahil olmak üzere çok sayıda genel ve özel kullanıcı verisi içerir. hesap oluşturma tarihi, arkadaş sayısı, favori sayısı, durum sayısı ve profil resmi URL’leri.
On milyonlarca başka kullanıcıya ait veriler de çalındı
Güvenlik uzmanı Chad Loder de ifşa etti twitter ve Mastodon, önceden düzeltilmiş bir API hatası ve doğrulanmış durum, hesap adları, Twitter kimliği, biyografi ve ekran adı gibi bazı kamuya açık bilgiler kullanılarak toplanan kişisel telefon numaralarıyla birlikte potansiyel olarak milyonlarca Twitter kaydını içeren daha da büyük bir veri dökümü hakkında ayrıntılar veriyor. .
Loder, “AB ve ABD’deki milyonlarca Twitter hesabını etkileyen büyük bir Twitter veri ihlali olduğuna dair kanıt aldım.” dedi.
“Etkilenen hesaplardan bir örnekle iletişime geçtim ve onlar da ihlal edilen verilerin doğru olduğunu onayladılar. Bu ihlal 2021’den önce gerçekleşmedi.”
BleepingComputer, etkilenen birden fazla kullanıcıyla bu veri ihlalindeki telefon numaralarının geçerli olduğunu doğruladı.
Sızdırılan bu veri tabanındaki telefon numaralarının hiçbirinin Ağustos 2002’de satılan orijinal verilerde yer almadığını belirtmekte fayda var; bu da, Twitter kullanıcı verilerinin tehdit aktörleri arasında önemli ölçüde değiş tokuş edildiğini ve veri ihlalinin daha önce bilinenin ötesinde boyutlara ulaştığını gösteriyor.
Ayrıca, sızdırılan ikinci veritabanının 17 milyondan fazla kayıt içerdiği söylendi, ancak bu bilgi bağımsız olarak doğrulanmadı.
BleepingComputer, özel kullanıcı bilgilerinin bu ek veri dökümü hakkında Twitter’a ulaştı, ancak henüz bir yanıt almadı.