Tech News

Technik & Digital

Twitter meldet neue Sicherheitslücke, die zur Offenlegung von 5,4 Millionen Konten geführt hat


Twitter musste sich melden noch eine weitere Sicherheitslücke in seinen Systemen Dadurch konnten Benutzer herausfinden, ob eine Telefonnummer oder E-Mail-Adresse mit einem bestehenden Twitter-Konto verbunden war – was dazu führte, dass mindestens ein Hacker eine riesige Liste von Twitter-Kontoinformationen zusammenstellte, die anschließend online verkauft wurden.

Wie erklärt von Twitter:

Im Januar 2022 erhielten wir über unser Bug-Bounty-Programm einen Bericht über eine Schwachstelle in den Systemen von Twitter. Wenn jemand eine E-Mail-Adresse oder Telefonnummer an die Systeme von Twitter übermittelte, teilten die Systeme von Twitter der Person infolge der Schwachstelle mit, mit welchem ​​Twitter-Konto die übermittelten E-Mail-Adressen oder Telefonnummern verknüpft waren, falls vorhanden. Als wir davon erfuhren, haben wir es sofort untersucht und behoben.

Wenn Sie also die Tools von Twitter verwenden, die Benutzern helfen sollen, Verbindungen zu finden, die auch in der App aktiv sind, können Sie theoretisch eine Datenbank mit Twitter-Konten erstellen, die mit jeder Telefonnummer oder E-Mail-Adresse verknüpft sind, die Sie im Internet gefunden haben.

Das ist keine große Offenbarung. Bereits 2015 nutzte BuzzFeed einen ähnlichen Fehler in den Systemen von Twitter, um das Burner-Konto eines rechtsextremen Politikers in Australien aufzudecken. Aber es ist die Massenanwendung dieses Verfahrens, die zu Problemen führen könnte.

Was genau passiert ist:

„Im Juli 2022 erfuhren wir durch einen Pressebericht, dass jemand dies möglicherweise ausgenutzt hatte und anbot, die von ihm zusammengestellten Informationen zu verkaufen. Nachdem wir eine Stichprobe der zum Verkauf stehenden Daten überprüft hatten, bestätigten wir, dass ein schlechter Akteur das Problem ausgenutzt hatte, bevor es angegangen wurde.“

Tatsächlich wurde laut BleepingComputer mit einer Person gesprochen, die diesen Fehler nutzte, um eine Datenbank zu erstellen 5,4 Millionen Twitter-Kontoprofile „einschließlich einer verifizierten Telefonnummer oder E-Mail-Adresse und aussortierten öffentlichen Informationen wie Follower-Zählungen, Bildschirmname, Anmeldename, Standort, Profilbild-URL und andere Informationen“.

Die Person, sagt BleepingComputer, hat versucht, den Datensatz für rund 30.000 US-Dollar zu verkaufen, und Berichten zufolge haben seitdem mehrere Käufer den Cache erworben.

Es ist kein massiver Verstoß, da es sich größtenteils um öffentlich zugängliche Informationen handelt – Sie erhalten nichts, was nicht auf andere Weise im Internet frei verfügbar ist. Aber für Benutzer, die versucht haben, ihr Twitter-Profil von ihrer IRL-Identität zu trennen, oder diejenigen, die möglicherweise über spaltende Themen twittern, bedeutet dies, dass die Leute möglicherweise ihre Telefonnummern über diese Liste ausfindig machen und sie in a belästigen könnten ganz neue und extremere Art und Weise.

Wenn Sie den Breadcrumbs folgen, können Sie wahrscheinlich die Adresse und andere Informationen einer Person als Erweiterung dieses Datensatzes aufspüren. Nehmen wir zum Beispiel an, der Twitter-Benutzer @JohnDoe77 sagt etwas, das Ihnen nicht gefällt – Sie könnten in dieser Datenbank nach seinem Benutzernamen suchen, wenn Sie Zugriff darauf hätten, und sehen, ob er eine Handynummer aufgelistet hat. Sie könnten dann online nach dieser Nummer suchen und wahrscheinlich weitere Kontaktinformationen usw. finden.

Die Daten selbst scheinen nicht wie ein extremer Verstoß zu sein, sie geben keine vertraulichen Informationen preis, die an Ihr Twitter-Konto als solches angehängt sind. Aber es ist immer noch potenziell problematisch. Was für Twitter nicht gut aussieht.

Es ist auch nicht das erste Mal, dass sich Twitter mit einem solchen Datenmissbrauch befasst.

Bereits 2018 wurde die Plattform aufgedeckt ein Problem im Zusammenhang mit einem seiner Support-Formulare, die den Ländercode der Telefonnummern von Personen offenlegten, wenn sie einen mit ihrem Twitter-Konto verknüpft hatten, sowie ob ihr Konto gesperrt war oder nicht. 2019 hat Twitter auch fDaher wurden einige E-Mail-Adressen und Telefonnummern, die zur Kontosicherheit angegeben wurden, unter Verstoß gegen die Datennutzungsbestimmungen zusätzlich für zielgerichtete Werbezwecke verwendet.

Dies sind alles relativ geringfügige Fehler im Sinne des Datenflusses. Aber sie zeichnen kein gutes Bild von der Fähigkeit von Twitter, solche zu verwalten und die persönlichen Daten der Menschen zu schützen.

Auch Twitter muss angesichts des laufenden Rechtsstreits im Fall der Übernahme von Elon Musk derzeit sehr vorsichtig vorgehen. Gegenwärtig versuchen Musk und sein Team, aus dem Geschäft auszusteigen, da Twitter seine Daten falsch dargestellt hat, was eine „wesentliche nachteilige Auswirkung“ darstellt, was bedeutet, dass etwas Bedeutendes die ursprünglich vereinbarten Bedingungen so weit verändert hat, dass die Plattform ist nicht mehr so ​​wertvoll wie ursprünglich zum Zeitpunkt der Vereinbarung.

Musks Team nutzt hier die gefälschten und Spam-Kontonummern von Twitter als Schlüsselhebel – aber wenn eine Datenpanne wie diese signifikant genug wäre, könnte dies auch zu Musks Rechtsstreit hinzugefügt werden, was ihm mehr Anlass gibt, Fragen zu den offiziellen Darstellungen von Twitter zu stellen, die kann dann eine nachteilige Auswirkung darstellen.

Es sieht nicht so aus, als würde dieser Verstoß dieses Ausmaß erreichen, aber es ist eine weitere Erinnerung für Twitter, seine Systeme zu überprüfen und erneut zu überprüfen, um sicherzustellen, dass es keine größeren Datenfehler oder Bedenken hinsichtlich der Offenlegung gibt, die gegen sie verwendet werden könnten – sowohl direkt als auch in einen Rechtssinn.

Derzeit arbeitet Twitter jedoch daran, das Problem zu lösen, indem es den potenziellen Exploit schließt und die betroffenen Kontoinhaber direkt benachrichtigt.

„Wir veröffentlichen dieses Update, weil wir nicht jedes potenziell betroffene Konto bestätigen können und besonders auf Personen mit pseudonymen Konten achten, die von staatlichen oder anderen Akteuren ins Visier genommen werden können.“

Es ist nicht großartig und es könnte noch viel schlimmer werden, wenn dieser Datensatz in die falschen Hände gerät.

Im Grunde ist das im Moment kein großes Problem, aber es könnte eines werden. Und inmitten seines möglicherweise größten Rechtsstreits aller Zeiten braucht Twitter keine weitere Ablenkung – abgesehen von den direkten Auswirkungen des Verstoßes auf die in der Liste aufgeführten.





Source link