Twitter: Διαρροή 200 εκατομμυρίων e-mail διευθύνσεων από hackers
Add New Post
Τα ονόματα χρηστών και οι διευθύνσεις ηλεκτρονικού ταχυδρομείου που ανήκουν σε περισσότερους από 200 εκατομμύρια χρήστες του Twitter έχουν αναρτηθεί στο διαδίκτυο από hackers.
Σύμφωνα με αναφορές ερευνητών ασφαλείας και μέσων ενημέρωσης, συμπεριλαμβανομένου του BleepingComputer, τα διαπιστευτήρια συγκεντρώθηκαν από διάφορες προηγούμενες παραβιάσεις του Twitter που χρονολογούνται από το 2021. Παρόλο που η βάση δεδομένων δεν περιλαμβάνει τους κωδικούς πρόσβασης των χρηστών, εντούτοις αποτελεί απειλή για την ασφάλεια όσων έχουν πληγεί.
«Πρόκειται για μια από τις πιο σημαντικές διαρροές που έχω δει», δήλωσε ο Alon Gal, συνιδρυτής της ισραηλινής εταιρείας κυβερνοασφάλειας Hudson Rock, σε ανάρτηση που περιγράφει το hack στο LinkedIn. «Πρόκειται να οδηγήσει δυστυχώς σε πολλά hacking, στοχευμένο phishing και doxxing».
Οι εκτιμήσεις σχετικά με τον ακριβή αριθμό των χρηστών που επηρεάστηκαν από την παραβίαση ποικίλλουν, εν μέρει λόγω της τάσης τέτοιων μεγάλης κλίμακας data dumps να περιλαμβάνουν διπλοεγγραφές. Τα screenshots της βάσης δεδομένων που μοιράστηκε το BleepingComputer δείχνουν ότι περιέχει μια σειρά από αρχεία κειμένου που απαριθμούν διευθύνσεις ηλεκτρονικού ταχυδρομείου και συνδεδεμένα ονόματα χρηστών Twitter, καθώς και τα πραγματικά ονόματα των χρηστών (αν οι χρήστες τα είχαν κοινοποιήσει στο Twitter), τον αριθμό των follower τους και τις ημερομηνίες δημιουργίας λογαριασμών. Το BleepingComputer δήλωσε ότι «επιβεβαίωσε ότι πολλές από τις διευθύνσεις ηλεκτρονικού ταχυδρομείου που αναφέρονται στη διαρροή είναι έγκυρες» και ότι η βάση δεδομένων πωλείται σε ένα hacking forum για μόλις 2 δολάρια.
Ο Troy Hunt, δημιουργός του ιστότοπου προειδοποίησης για την κυβερνοασφάλεια Have I Been Pwned, ανέλυσε επίσης την παραβίαση και μοιράστηκε τα συμπεράσματά του στο Twitter: «Βρέθηκαν 211.524.284 μοναδικές διευθύνσεις ηλεκτρονικού ταχυδρομείου, φαίνεται να είναι λίγο πολύ αυτό που περιγράφεται».
Η παραβίαση έχει πλέον προστεθεί στα συστήματα του Have I been Pwned, πράγμα που σημαίνει ότι οποιοσδήποτε μπορεί να επισκεφθεί τον ιστότοπο και να εισάγει τη διεύθυνση ηλεκτρονικού ταχυδρομείου του για να δει αν αυτή συμπεριλαμβάνεται στη βάση δεδομένων που διέρρευσε.
Η προέλευση της βάσης δεδομένων φαίνεται να εντοπίζεται στο 2021, αναφέρει η Washington Post, όταν οι hackers ανακάλυψαν μια ευπάθεια στα συστήματα ασφαλείας του Twitter. Το ελάττωμα επέτρεπε σε κακόβουλους φορείς να αυτοματοποιήσουν την αναζήτηση λογαριασμών - εισάγοντας μαζικά διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου για να δουν αν συνδέονται με λογαριασμούς Twitter.
Το Twitter αποκάλυψε αυτή την ευπάθεια τον Αύγουστο του 2022, λέγοντας ότι είχε διορθώσει το ζήτημα τον Ιανουάριο του ίδιου έτους, αφού είχε αναφερθεί ως bug bounty. Η εταιρεία ισχυρίστηκε τότε ότι «δεν είχε κανένα στοιχείο που να υποδηλώνει ότι κάποιος είχε εκμεταλλευτεί την ευπάθεια», αλλά οι ειδικοί σε θέματα ασφάλειας στον κυβερνοχώρο είχαν ήδη εντοπίσει βάσεις δεδομένων με διαπιστευτήρια του Twitter προς πώληση τον Ιούλιο του ίδιου έτους. Αυτή η πιο πρόσφατη βάση δεδομένων με περισσότερους από 200 εκατομμύρια λογαριασμούς φαίνεται να έχει τις ρίζες της σε αυτή την προ ετών ευπάθεια, η οποία πέρασε απαρατήρητη από το Twitter για περίπου επτά μήνες.
Η παραβίαση είναι μόνο το τελευταίο μελόδραμα σε ότι αφορά την ασφάλεια του Twitter, το οποίο εδώ και καιρό αγωνίζεται να προστατεύσει τα δεδομένα των χρηστών του. Η εταιρεία ερευνάται ήδη από την ΕΕ για την παραβίαση (βάσει των πρώτων αναφορών τον Ιούλιο του 2022) και ελέγχεται από την FTC για παρόμοια κενά ασφαλείας. Τον περασμένο Αύγουστο, ο πρώην επικεφαλής ασφαλείας του Twitter, Peiter "Mudge" Zatko, έγινε πληροφοριοδότης της εταιρείας, καταθέτοντας καταγγελία στην κυβέρνηση των ΗΠΑ, στην οποία υποστήριζε ότι η εταιρεία κάλυπτε "κατάφωρες ελλείψεις" στις προσπάθειες άμυνας από κυβερνοεπιθέσεις.