“Kanıt Yok” Twitter Kusurunun Kullanıcılar Üzerinde En Son Sızan Verileri Toplamak İçin Kullanıldığını Bildirdi
Mathew J. Schwartz (euroinfosec) •
12 Ocak 2023
Twitter, yakın zamanda satıldığı ve ardından siber suç pazarları aracılığıyla sızdırıldığı iddia edilen kullanıcı verileri koleksiyonunun, sistemlerindeki bir güvenlik açığından yararlanılarak toplanmadığını söylüyor.
Ayrıca bakınız: Kimlik Avının Anatomisi: Gelişmiş Kimlik Avı Saldırılarını Önlemek İçin En İyi Kimlik Doğrulama Uygulamaları
“Twitter kullanıcılarının verilerinin çevrimiçi olarak satıldığına dair son basında çıkan haberlere yanıt olarak, kapsamlı bir soruşturma yürüttük ve yakın zamanda satılan verilerin Twitter sistemlerinin bir güvenlik açığından yararlanılarak elde edildiğine dair hiçbir kanıt yok.” Twitter raporları Çarşamba güncellemesinde.
“Veriler muhtemelen, farklı kaynaklar aracılığıyla çevrimiçi olarak zaten halka açık olan bir veri koleksiyonudur” diye ekliyor.
Ancak bazı güvenlik uzmanları o kadar emin değil.
Geçen hafta, İsrail siber suç istihbarat firması Hudson Rock’ın CTO’su Alon Gal, verilerin bir Twitter veritabanından sızmış gibi göründüğünü bildirdi. Ayrıca verilerin toplanmasını “gördüğüm en önemli sızıntılardan biri” olarak nitelendirdi ve bunun Twitter kullanıcılarını “hackleme, hedefli kimlik avı ve doxxing” nedeniyle yüksek risk altında bıraktığını söyledi.
Gal, analizinin arkasında olduğunu söylüyor. Gal, Çarşamba günü bir LinkedIn gönderisinde, “Bunu diğer güvenlik uzmanlarıyla tartıştıktan ve bu konuda kendi araştırmamı yürüttükten sonra, önceki değerlendirmemin hala geçerli olduğuna inanıyorum.”
“Örneğin, veri zenginleştirme vakalarının aksine, veritabanında bulunan Twitter kullanıcı adları ve e-postalar arasında yanlış pozitiflerin olmaması, sızıntının gerçekliğini açıkça gösteriyor” diyor.
Verileri zenginleştirmek, mevcut bir veri kümesini (belki başka ihlallerden derlenmiş) almak ve ardından aynı kişiye bağlı ek alanlar eklemeye çalışmak anlamına gelir. Bu nedenle birisi, kişilerin gerçek adlarını ve e-posta adreslerini ele geçirebilir ve kaydı kişilerin telefon numaraları, Twitter hesap adları ve hatta çeşitli hizmetlerin parolalarıyla zenginleştirmek için yasa dışı taktikler kullanabilir. Gal, bu yaklaşımın kayda değer sayıda yanlış pozitif ortaya çıkardığının bilindiğini söylüyor.
İhlallerin Analizi – İddia Edilen veya Aksi
Twitter’ın “yakın zamanda satılmakta olan veriler” uyarısı da dahil olmak üzere güncellemesi, hizmetin son iki yılda maruz kaldığı gerçek veya iddia edilen veri ihlalleri göz önüne alındığında paketin açılmasını gerektiriyor.
Benzer şekilde, Twitter’ın sistemlerinden neyin çalınıp neyin çalınmadığını açıklığa kavuşturma girişimi, Musk’ın satın almasından bu yana, sistemlerinin kararlılığı ve kullanıcıları ve verilerini korumak için yeterli kaynakları ayırıp ayırmadığına ilişkin yaygın endişe devam ederken ortaya çıkıyor (bkz:: Twitter Elon Musk’ın Yönünde Batacak mı, Yoksa Yüzecek mi?).
Açık olmak gerekirse, Twitter’ın saldırganların daha önce verileri çalmak için istismar ettiğini doğruladığı bir güvenlik açığı, Musk’ın CEO olarak bölücü görevine başlamasından önce vardı ve düzeltildi.
Temmuz 2022’de Twitter, Haziran 2021’den Ocak 2022’ye kadar sunduğu “başkalarının sizi telefonunuzdan bulmasına izin verin” adlı API ile erişilebilen bir özellikten birinin, işlevselliğin nasıl olabileceğini vurgulayan bir hata raporu aldığında yararlandığını öğrendiğini söyledi. kötüye kullandı ve devre dışı bıraktı.
Bundan önce, “birisi Twitter sistemlerine bir e-posta adresi veya telefon numarası gönderirse, Twitter sistemleri kişiye, gönderilen e-posta adreslerinin veya telefon numarasının, varsa, hangi Twitter hesabıyla ilişkili olduğunu söylerdi” dedi.
Twitter, özelliğin etkinken saldırganlar tarafından kötüye kullanıldığına dair hiçbir kanıt olmadığını bildirmiş olsa da, işlevsellik gerçekten de kötüye kullanılmıştı – ancak Twitter o sırada bunu fark edememişti. Ancak suçlular, Temmuz 2022’de 5,4 milyon kullanıcıya ait çalınan verileri satışa sunmaya başladıktan sonra, Twitter suçlu olarak “başkalarının sizi bulmasına izin verin” özelliğini belirledi. Açıklamada, “Satışa sunulan verilerin bir örneğini inceledikten sonra, kötü bir kişinin sorun çözülmeden önce sorundan yararlandığını doğruladık” denildi.
Bu veriler, Twitter kullanıcılarının kullanıcı adlarını, görünen adlarını, biyografilerini, konumlarını, e-posta adreslerini ve telefon numaralarını içeriyordu.
Özelliği Başka Kim Suistimal Etti?
Geriye bir soru kalıyor: Kullanıcı verilerini derlemek için başka kaç suçlu bu özelliği kötüye kullandı ki Twitter da bunu yaparken fark edemedi?
Kasım 2022’de birisi, çalınan verileri içeren bir veritabanını 5,4 milyon Twitter kullanıcısına attı. Twitter, bu veri setinin geçtiğimiz Temmuz ayında satışa sunulan verilerle eşleştiğini söylüyor.
Aralık 2022’de birisi, Twitter’da “bir güvenlik açığı nedeniyle” kazındığı iddia edilen 200 milyon Twitter kullanıcısına ilişkin verileri sattığını iddia etti. Elbette, çalınan veri satıcılarının, özellikle mallarını abartmaya yardımcı oluyorsa, yalan söylediği biliniyor.
Twitter, yeni güncellemesinde, 400 milyon kayıttan oluşan bu koleksiyonda yer alan kullanıcı verilerinin “daha önce bildirilen olayla veya herhangi bir yeni olayla ilişkilendirilemeyeceğini” söylüyor. Veri toplama, Twitter kullanıcılarının adlarını, kullanıcı adlarını, e-posta adreslerini ve takipçi sayılarını içerir.
Aynen satış için ve ardından bu ay 200 milyon olduğu iddia edilen Twitter kullanıcı bilgilerini sızdırıyor. Twitter, “Her iki veri seti de aynıydı, ancak ikincisinde yinelenen girişler kaldırıldı,” diyor ve birden fazla güvenlik uzmanının da gözlemlediğini doğruluyor (bkz:: 200 Milyon Twitter Rekorunun Sızmasının Ardından Bilgisayar Korsanlığı ve Kimlik Avı Bekleniyor).
TFA’yı Kullanmaya Devam Edin, Twitter Öneriyor
Twitter, saldırganların yakın zamanda yeni bir açıktan yararlanıp yararlanmadığına bakılmaksızın – yine kullanmadıklarını söylüyor – suçluların kullanabileceği kullanıcı bilgilerinin artık geniş bir dolaşımda olduğu konusunda uyarıyor.
Buna göre Twitter, kullanıcılara “e-posta yoluyla herhangi bir iletişim alırken ekstra dikkatli olmalarını tavsiye ediyor, çünkü tehdit aktörleri sızan bilgileri çok etkili kimlik avı kampanyaları oluşturmak için kullanabilir.”
Twitter ayrıca, tüm kullanıcıların hesaplarını korumak ve ele geçirilmesini zorlaştırmak için iki faktörlü kimlik doğrulama kullanmasını önerir. Ancak anekdot olarak, Elon Musk şirketi 44 milyon dolara satın aldıktan sonra birçok kullanıcı hizmet için TFA’yı devre dışı bıraktı. Musk’ın yapmaya başladığı hem personel hem de sistemlerdeki yaygın kesintilere yanıt olarak, bazı eski Twitter çalışanları, sistem kararlılığının zarar görebileceği konusunda uyardı ve kullanıcılara bir önlem olarak TFA’yı devre dışı bırakmalarını önerdi.
Tabii ki, kısa bir süre sonra, bunu telefonlarındaki bir kimlik doğrulama uygulamasına veya fiziksel bir güvenlik anahtarına bağlayan kullanıcılar için olmasa da, TFA aksaklıklarına dair raporlar vardı. Ancak tek seferlik kod içeren bir kısa mesaj almayı seçen bazı kullanıcılar, bu SMS mesajlarını almadıklarını bildirmeye başladılar.
Twitter, ancak, orada olduğunu bildirdi yaygın TFA kesintisi yok. “SMS kodlarının teslim edilmediği birkaç durumu araştırıyoruz” dedi.
Bu tür güvenceler memnuniyetle karşılanır. Ancak Musk dönemi Twitter, pek çok kullanıcının vazgeçtiklerini bildirmesinin ardından alakalı kalmaya çalışırken, muhtemelen şirketin “kalpler ve zihinler” kampanyası – en azından güvenlik cephesinde – çok daha fazla çalışmayı gerektiriyor.