Oh toll, jetzt stehen unsere Twitter-Daten im Dark Web zum Verkauf
Falls Sie die ausführlichen Hacker-Newsfeeds nicht genau verfolgt haben (und wir machen Ihnen keine Vorwürfe, wenn Sie dies nicht getan haben), haben Sie möglicherweise eine Ankündigung von HackerOne im Januar verpasst, in der eine Sicherheitslücke im Twitter-Code beschrieben wird. Die Schwachstelle ließ Hacker Telefonnummern und E-Mails von Benutzern stehlen.
Nun, eine Liste mit Millionen von Twitter-Nutzern wurde gerade im Dark Web zum Verkauf angeboten.
Restore Privacy, ein Sicherheits- und Datenschutzwächter, meldete die Liste von 5,4 Millionen E-Mail-Adressen und Telefonnummern von Twitter-Nutzern, die auf einer dunklen Website namens Breached Forums zum Verkauf stehen. Der Hacker, der die Liste verkauft, behauptet, dass sie die privaten Daten von „Prominenten, Unternehmen, zufälligen Personen, OGs usw.“ enthält.
Die im Januar gefundene Schwachstelle und der Verkauf persönlicher Datensätze von Twitter sind zu eng miteinander verbunden, um reiner Zufall zu sein.
Im Januar reichte der HackerOne-Benutzer zhirinovskiy einen Fehlerbericht ein, den er bei der Analyse der Codebasis von Twitter gefunden hatte. Es handelte sich um einen Exploit, der es einem Angreifer potenziell ermöglichen könnte, auf die E-Mails und Telefonnummern von Twitter-Benutzern zuzugreifen. Obwohl es zu diesem Zeitpunkt keine Anzeichen für eine Datenschutzverletzung gab, war zhirinovskiy besorgt.
„Dies ist eine ernsthafte Bedrohung“, sagte zhirinovskiy in seinem Fehlerbericht. „Da Menschen nicht nur Benutzer finden können, die die Fähigkeit, per E-Mail/Telefonnummer gefunden zu werden, eingeschränkt haben, sondern jeder Angreifer mit Grundkenntnissen in Skripterstellung/Codierung einen großen Teil der Twitter-Benutzerbasis aufzählen kann, die zuvor nicht für die Aufzählung verfügbar war (erstellen Sie eine Datenbank mit Verbindungen von Telefon/E-Mail zu Benutzernamen).“
„Danke für deinen Bericht @zhirinovksiy“, antwortete ein Twitter-Mitarbeiter namens bugtriage_simon auf den Bericht. „Wir prüfen dies und halten Sie auf dem Laufenden, wenn wir weitere Informationen haben. Vielen Dank, dass Sie an die Sicherheit von Twitter denken.“
Die Antwort kam am 6. Januar, fünf Tage nachdem Zhirinowskij seinen Bericht veröffentlicht hatte.
Am 13. Januar schloss Twitter den Bericht und kommentierte: „Wir betrachten dieses Problem jetzt als behoben. Kannst du bitte bestätigen?"
„Ich kann bestätigen, dass das Problem behoben ist“, antwortete zhirinovskiy am selben Tag. Twitter belohnte ihn für seine Bemühungen.
Nach dem Austausch von Kommentaren zum ersten Fehlerbericht zu urteilen, dauerte es fast zwei Wochen, bis Twitter die Schwachstelle behoben hatte. Irgendwann schlich sich ein Bedrohungsakteur ein und stahl 5,4 Millionen Datensätze. Ob dies geschah, bevor zhirinovskiy den Exploit entdeckte oder nachdem er ihn gepostet hatte, bleibt unbekannt. Bekannt ist, dass diese E-Mails und Telefonnummern jetzt zum Verkauf stehen.
Wenn Ihre Daten in die Verletzung einbezogen wurden, können Sie mit einem Anstieg von Spam-E-Mails und betrügerischen Anrufen rechnen. Wir empfehlen die Verwendung von Apples Hide My Email , wenn Sie ein iPhone haben. Lesen Sie auch unsere Tipps zur Verbesserung Ihrer Online-Privatsphäre .