Twitter bevestigt dat zero-day is gebruikt om gegevens van 5,4 miljoen accounts bloot te leggen

Twitter_headerr.jpg


Door: Lawrence Adams


Twitter heeft bevestigd, dat een recent datalek werd veroorzaakt door een nu gepatchte zero-day kwetsbaarheid, die werd gebruikt
om e-mailadressen en telefoonnummers te koppelen aan de accounts van gebruikers, waardoor een bedreiger een lijst van
5,4 miljoen gebruikersaccountprofielen kon samenstellen.

Vorige maand sprak BleepingComputer met een dreigingsactor die zei dat ze in staat waren om een lijst van 5,4 miljoen
Twitter-accountprofielen samen te stellen met behulp van een kwetsbaarheid op de sociale mediasite.

Via deze kwetsbaarheid kon iedereen een e-mailadres of telefoonnummer invoeren, controleren of dit gekoppeld was aan een
Twitter-account en de bijbehorende account-id achterhalen. De bedreiger gebruikte deze ID vervolgens om de openbare informatie
voor het account te schrapen.


forum-post.jpg

Twitter-gegevens worden verkocht op een hackersforum - Bron: BleepingComputer


Hierdoor kon de bedreiger in december 2021 profielen van 5,4 miljoen Twitter-gebruikers aanmaken, inclusief een geverifieerd
telefoonnummer of e-mailadres, en openbare informatie schrapen, zoals het aantal volgers, schermnaam, aanmeldnaam, locatie,
URL van de profielfoto en andere informatie.

Een bewerkt voorbeeld van een van deze aangemaakte Twitter-profielen is hieronder te zien.


twitter-scraped-profile.jpg

Een geredigeerd voorbeeld van een van de gegenereerde Twitter profielen - Bron: BleepingComputer


De dreiger verkocht de gegevens destijds voor 30.000 dollar en had BleepingComputer verteld, dat er geïnteresseerde kopers waren.

BleepingComputer vernam later, dat twee verschillende dreigingsactoren de gegevens kochten voor minder dan de oorspronkelijke
verkoopprijs en dat de gegevens in de toekomst waarschijnlijk gratis zouden worden vrijgegeven.


Twitter bevestigt dat zero-day is gebruikt om gegevens te verzamelen


De dreiger verkocht de gegevens destijds voor 30.000 dollar en had BleepingComputer verteld dat er geïnteresseerde kopers waren.

BleepingComputer vernam later, dat twee verschillende dreigingsactoren de gegevens kochten voor minder dan de oorspronkelijke
verkoopprijs en dat de gegevens in de toekomst waarschijnlijk gratis zouden worden vrijgegeven.
Twitter bevestigt dat zero-day is gebruikt om gegevens te verzamelen

Twitter heeft vandaag bevestigd, dat de kwetsbaarheid die in december door de bedreiger is gebruikt, dezelfde is die in januari 2022
aan hen is gemeld en door hen is verholpen als onderdeel van hun HackerOne bug bounty-programma..,

"In januari 2022 ontvingen we een melding via ons bug bounty-programma van een kwetsbaarheid, die iemand in staat stelde om het
e-mailadres of telefoonnummer te identificeren, dat was gekoppeld aan een account of, als ze het e-mailadres of telefoonnummer van
een persoon kenden, konden ze hun Twitter-account identificeren, als er een bestond," onthulde Twitter vandaag in een beveiligingsadvies.

"Deze bug was het gevolg van een update van onze code in juni 2021. Toen we hiervan hoorden, hebben we het onmiddellijk onderzocht
en verholpen. Op dat moment hadden we geen aanwijzingen dat iemand misbruik had gemaakt van de kwetsbaarheid."

Als onderdeel van de onthulling van vandaag vertelde Twitter aan BleepingComputer, dat ze vanochtend al zijn begonnen met het
versturen van meldingen om getroffen gebruikers te waarschuwen, of de datalek hun telefoonnummer of e-mailadres heeft blootgesteld.

Op dit moment vertelt Twitter, dat ze het exacte aantal mensen dat getroffen is door de inbreuk niet kunnen bepalen.
De bedreiger beweert echter, dat hij het lek heeft gebruikt om de gegevens van 5.485.636 Twitter-gebruikers te verzamelen.

Hoewel er bij deze inbreuk geen wachtwoorden zijn vrijgegeven, moedigt Twitter gebruikers aan om bij wijze van veiligheidsmaatregel
2-factor authenticatie op hun accounts in te schakelen, om ongeoorloofde aanmeldingen te voorkomen.

Voor degenen die een pseudoniem Twitter-account gebruiken, stelt het socialemediabedrijf voor om je identiteit zo anoniem mogelijk te
houden door geen publiek bekend telefoonnummer of e-mailadres te gebruiken op je Twitter-account.

"We publiceren deze update, omdat we niet in staat zijn om elk account te bevestigen, dat mogelijk is getroffen en we zijn vooral bedacht
op mensen met pseudonieme accounts die het doelwit kunnen zijn van staats- of andere actoren," waarschuwde het Twitter-advies.

Aangezien twee verschillende dreigingsactoren deze gegevens al hebben gekocht, moeten gebruikers bovendien oppassen voor gerichte
spear-phishingcampagnes, waarbij deze gegevens worden gebruikt om je Twitter-inloggegevens te stelen.


Bron:
 

Abraham54

Beheer
gemgemgemgemgemgemgemgemgem
Team lid
Lid geworden
2 aug 2016
Berichten
29.224
Reactiescore
7.688
Punten
323
Leeftijd
68
Twitter had het veel te druk, vanwege Elon Musk!
En zover ik weet, is het al vaker gebeurd dat Twitter te laat hackerpogingen openbaarde.
 
Bovenaan Onderaan