Bir tehdit aktörü, artık düzeltilmiş bir API güvenlik açığı kullanarak 2021’de kazınan 400 milyon Twitter kullanıcısına ait genel ve özel verileri sattığını iddia ediyor. Özel bir satış için 200.000 dolar istiyorlar.
İddia edilen veri dökümü, veri ihlallerinde çalınan kullanıcı verilerini satmak için yaygın olarak kullanılan bir site olan Breached bilgisayar korsanlığı forumunda ‘Ryushi’ adlı bir tehdit aktörü tarafından satılıyor.
Tehdit aktörü, bir güvenlik açığı kullanarak 400 milyondan fazla benzersiz Twitter kullanıcısının verilerini topladığını iddia etti. Elon Musk ve Twitter’ı, Avrupa’nın GDPR gizlilik yasası kapsamında büyük bir para cezasına yol açmadan önce verileri satın almaları gerektiği konusunda uyardılar.
Ryushi bir forum gönderisinde, “Twitter veya Elon Musk, bunu okuyorsanız, 400 milyon kullanıcının ihlal kaynağını göz önünde bulundurarak zaten 5,4 milyon ihlalin üzerinde bir GDPR cezasını riske atıyorsunuz demektir” diye yazdı.
“Facebook’un yaptığı gibi (533 milyon kullanıcının kazınması nedeniyle) GDPR ihlali cezalarında 276 milyon ABD Doları ödemekten kaçınmak için en iyi seçeneğiniz, bu verileri özel olarak satın almaktır.”
Tehdit aktörü, bu verilerin diğer tehdit aktörleri tarafından kimlik avı saldırıları, kripto dolandırıcılığı ve BEC saldırıları için nasıl kötüye kullanılabileceğini açıklayan bir gönderiye de bağlantı verdi.
Forum gönderisi, aralarında Alexandria Ocasio-Cortez, Donald Trump JR, Mark Cuba, Kevin O’Leary ve Piers Morgan’ın da bulunduğu otuz yedi ünlü, politikacı, gazeteci, şirket ve devlet kurumu için örnek veriler içeriyor. Ayrıca, daha sonra 1.000 Twitter kullanıcı profilinden oluşan daha büyük bir örnek sızdırıldı.
Kullanıcı profilleri, kullanıcıların e-posta adresleri, adları, kullanıcı adları, takipçi sayısı, oluşturma tarihi ve telefon numaraları dahil olmak üzere herkese açık ve özel Twitter verilerini içerir. Sızdırılan tüm profillerin e-posta adresleri var gibi görünse de birçoğunun telefon numarası yok.
Bu verilerin neredeyse tamamı, herhangi bir Twitter kullanıcısı tarafından herkese açık olarak erişilebilirken, telefon numaraları ve e-posta adresleri özel bilgilerdir.
Tehdit aktörü Ryushi, BleepingComputer’a Twitter verilerini yalnızca tek bir kişiye/Twitter’a 200.000$’a satmaya çalıştıklarını ve ardından verileri sileceğini söyledi. Özel bir satın alma yapılmazsa, satış başına 60.000 ABD Doları karşılığında kopyaları birden çok kişiye satacaklar.
Verileri fidye için Twitter ile iletişime geçip geçmedikleri sorulduğunda, BleepingComputer’a Twitter ile iletişime geçtiklerini ve aramalar yaptıklarını ancak bir yanıt alamadıklarını söylediler.
Artık düzeltilen API güvenlik açığı kullanılarak toplanan veriler
Tehdit aktörü, BleepingComputer’a, Twitter’ın Ocak 2022’de düzelttiği ve daha önce 5,4 milyon kullanıcı verisi ihlaliyle ilişkilendirilen bir API güvenlik açığını kullanarak özel telefon numaralarını ve e-posta adreslerini topladıklarını doğruladı.
Bu güvenlik açığı, bir kişinin büyük telefon numaraları ve e-posta adresleri listelerini bir Twitter API’sine göndermesine ve ilişkili bir Twitter kullanıcı kimliği almasına izin verdi. Tehdit aktörü daha sonra bu kimliği başka bir IP ile kullanarak kullanıcıların genel profil verilerini aldı ve genel ve özel verilerden oluşan bir Twitter kullanıcı profili oluşturdu.
Tehdit aktörü BleepingComputer’a “5.4m veri sızıntısı için kullanılanla aynı açıktan erişim sağladım. Satıcıyla konuştum ve Twitter giriş akışında olduğunu doğruladı” dedi.
“Yani, çoğaltma kontrolünde, başka bir api kullanarak kullanıcı adına ve diğer bilgilere dönüştürdüğüm userID’yi sızdırdı.”
Twitter, Ocak 2022’de güvenlik açığını düzeltirken, şimdi birden fazla tehdit aktörü tarafından Twitter kullanıcılarından özel bilgileri çalmak için kullanıldığı doğrulandı.
Bu yeni sızıntıya gelince, BleepingComputer sızan Twitter profillerinden yalnızca ikisinin geçerli olduğunu doğrulayabildi.
Bununla birlikte, tehdit istihbarat şirketi Hudson Rock’tan Alon Gal, sızan örneklerin meşru göründüğünü bağımsız olarak doğruladıklarını söyledi.
“Lütfen Dikkat: Bu aşamada, veritabanında gerçekten 400.000.000 kullanıcı olduğunu tam olarak doğrulamak mümkün değildir.” Hudson Rock’ı tweetledi.
“Bağımsız bir doğrulamadan, verilerin kendisinin meşru olduğu görülüyor ve herhangi bir gelişmeyi takip edeceğiz.”
Bir AB gizlilik gözlemcisi olan İrlanda Veri Koruma Komisyonu (DPC), Twitter kullanıcı verilerinin bu şekilde sızdırılması, sosyal medya şirketi için kötü bir zamanda gerçekleşti. bu güvenlik açığı.
Başka bir tehdit aktörü de bu güvenlik açığını 17 milyon olduğu iddia edilen kullanıcının verilerini kazımak için kullandığını iddia etti. Ancak bu sızıntı hala gizli ve satılmıyor.
BleepingComputer, bu verilerin satışıyla ilgili başka sorularla Twitter’a ulaştı, ancak hemen bir yanıt alınamadı.