Cosa significa veramente la fuga di 200 milioni di e-mail da Twitter

Rosie Struve Getty Images

Dopo le segnalazioni alla fine del 2022 secondo cui gli hacker vendevano dati rubati a 400 milioni di utenti di Twitter, i ricercatori ora affermano che è probabile che una raccolta ampiamente diffusa di indirizzi e-mail associati a circa 200 milioni di utenti sia una versione redatta della raccolta più ampia con la rimozione di voci duplicate. Il social network deve ancora commentare la massiccia esposizione, ma la cache di dati mostra quanto fosse grave la fuga di notizie e chi potrebbe essere maggiormente a rischio di conseguenza.

Da giugno 2021 a gennaio 2022, si è verificato un bug nell’interfaccia di programmazione dell’applicazione di Twitter, o API, che consentiva agli aggressori di inviare informazioni di contatto come indirizzi e-mail e ricevere in cambio l’eventuale account Twitter associato. Prima che venisse patchato, gli aggressori hanno sfruttato la falla per “raschiare” i dati dal social network. E mentre il bug non consentiva agli hacker di accedere a password o altre informazioni sensibili come i DM, esponeva la comunicazione tra gli account Twitter, che sono spesso pseudonimi, e i loro indirizzi e-mail e numeri di telefono associati, che potrebbero portare all’identificazione dell’utente.

Sebbene esista, la vulnerabilità è stata apparentemente sfruttata da più attori per creare diversi set di dati. Uno che circolava nei forum criminali dall’estate includeva indirizzi e-mail e numeri di telefono Circa 5,4 milioni di utenti Twitter. Il mega gruppo appena apparso sembra contenere solo indirizzi email. Tuttavia, la circolazione su larga scala dei dati crea il rischio che possa alimentare attacchi di phishing, tentativi di furto di identità e altri attacchi individuali.

Twitter non ha risposto alle richieste di commento di WIRED. azienda libri Informazioni sulla vulnerabilità dell’API nella divulgazione di agosto: “Quando ne siamo venuti a conoscenza, abbiamo immediatamente indagato e risolto il problema. All’epoca, non avevamo prove che suggerissero che qualcuno avesse sfruttato la vulnerabilità”. Apparentemente, la telemetria di Twitter non era sufficiente per rilevare lo scraping dannoso.

READ  Elon Musk e suo fratello, il CEO di Tesla, stanno affrontando un'indagine commerciale interna

Twitter non è la prima piattaforma a esporre i dati allo scraping di massa attraverso un difetto dell’API ed è comune in tali scenari avere Confusione su quanti set di dati distinti esistano effettivamente risultato di uno sfruttamento dannoso. Tuttavia, questi incidenti sono ancora significativi, poiché aggiungono ulteriori connessioni e convalide all’enorme mole di dati rubati già presenti nell’ecosistema criminale sugli utenti.

“Ovviamente ci sono molte persone che erano a conoscenza di questa vulnerabilità dell’API e molte persone che l’hanno rimossa. Persone diverse hanno raschiato cose diverse? Quante sepolture ci sono? Non importa. Hunt ha digerito il set di dati Twitter di HaveIBeenPwned e ha detto che rappresentava informazioni su più di 200 milioni di account.Il 98% degli indirizzi e-mail era già stato esposto in precedenti violazioni registrate da HaveIBeenPwned.Hunt afferma di aver inviato notifiche e-mail a quasi 1.064.000 dei 4.400.000 milioni di abbonati e-mail al suo servizio.

“È la prima volta che invio un’e-mail a sette cifre”, afferma. “Quasi un quarto del mio numero totale di abbonati è davvero importante. Ma dal momento che molto di questo era già là fuori, non credo che questo sarebbe un incidente con una lunga coda in termini di impatto. Volevano mantenere la loro privacy .”

Twitter ha scritto ad agosto di condividere questa preoccupazione sulla possibilità che account utente pseudonimi vengano collegati alle loro identità reali a causa della vulnerabilità dell’API.

“Se gestisci un account Twitter pseudonimo, comprendiamo i rischi che un incidente come questo può comportare e siamo profondamente dispiaciuti che ciò sia accaduto”, ha scritto la società. Per mantenere la tua identità il più anonima possibile, ti consigliamo di non aggiungere un numero di telefono o un indirizzo e-mail pubblicamente noto al tuo account Twitter.

READ  The Landing porta lo shopping sociale e la collaborazione per l'interior design: TechCrunch

Per gli utenti che non hanno già collegato i propri account Twitter agli account di posta elettronica del masterizzatore al momento dello scraping, tuttavia, il consiglio arriva troppo tardi. Ad agosto, il social network ha affermato di aver informato le persone potenzialmente colpite della situazione. La società non ha detto se fornirà ulteriore avviso alla luce delle centinaia di milioni di documenti esposti.

Commissione irlandese per la protezione dei dati Egli ha detto Il mese scorso stava indagando su un incidente che ha esposto agli utenti 5,4 milioni di indirizzi e-mail e numeri di telefono. Twitter è attualmente sotto inchiesta da parte della Federal Trade Commission degli Stati Uniti per verificare se la società abbia violato un “decreto di consenso” che richiedeva a Twitter di migliorare i dati degli utenti e la protezione della privacy degli utenti.

Questa storia è originariamente apparsa wired.com.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.