Araştırmacılar, 200 milyon Twitter kullanıcısının verilerinin toplanıp bir yeraltı bilgisayar korsanlığı forumunda ücretsiz olarak yayınlandığı konusunda uyarıyorlar.
Privacy Affairs tarafından yapılan bir araştırmaya göre, hesap adı, tanıtıcı, oluşturma tarihi ve takipçi sayısı dahil olmak üzere herkese açık hesap ayrıntılarının tümü, 4 Ocak’ta Dark Web’e yüklenen 63 GB değerindeki verilerin bir parçasıdır. Sorumlu siber suçlu, materyallerin, kamuya açık verileri sosyal medya sitelerinden kaldırmak için otomatik komut dosyaları kullanma süreci olan veri kazıma yoluyla toplandığını söyledi. Bununla birlikte, şirketin bulduğu, kullanıcıların genel profillerinin parçası olmayan e-posta adresleri de veritabanında bulunuyor.
Privacy Affairs’in kurucusu Miklos Zoltan, “Listelenen hesaplarla ilişkili e-posta adreslerinin mevcudiyeti, etkilenen hesap sahiplerinin gerçek hayattaki kimliklerini veya konumlarını sosyal mühendislik saldırıları yoluyla belirlemek için kullanılabilir” dedi. Blog yazısı. “E-posta adresleri spam veya dolandırıcılık pazarlama kampanyaları ve bireysel kullanıcılara kişisel tehditler göndermek için de kullanılabilir.”
E-posta adreslerine nasıl erişildiği belirsiz olsa da Zoltan, “kullanılan en olası yöntemin bir uygulama programlama arabirimi (API) güvenlik açığının kötüye kullanılması olabileceğini” belirtti. Sonuçta, en azından geçmiş bir Twitter veri sızıntısı Twitter kullanıcı adlarıyla telefon numaralarının bağlanmasıyla sonuçlanan bir Twitter API’sinin kötüye kullanılmasından kaynaklanmıştır. Ve Ağustos ayında binlerce mobil uygulamanın Twitter API anahtarlarını sızdırdığı tespit edildi.
Diğer araştırmacılar Zoltan’ın değerlendirmesine katılıyor.
Synopsys’in baş bilim adamı Sammy Migues, e-postayla gönderilen bir açıklamada, “Buradaki gerçek hikaye API güvenliği,” dedi. “Bulutta yerel uygulama geliştirme patlamasıyla birlikte, yekpare uygulamaları yüzlerce ve binlerce API’ye ve mikro hizmete yeniden düzenleme dünyası da patlıyor. Bu çaba, kesinlikle, güvenli API ve sıfırdan çalışan uygulama mimarlarının becerileri ve sayısından çok daha hızlı büyüyor. güven mimarileri.”
Twitter şimdiye kadar gelişmeler konusunda sessiz kaldı ve Dark Reading’in yorum talebine hemen yanıt vermedi.
Herkese Açık Profil Verilerinin Kazınması Gerçek Riski Temsil Eder
Gizlilik İşleri, 200 milyon Twitter kaydının, Aralık ayında yeraltı pazarlarında 200.000 dolara satışa sunulan veri setinin aynısı gibi görünüyor. O zamanlar vardı 400 milyon profil dahilancak firma, bu son listelemenin veritabanını kopyaladığını ve bunun tekrarlanmayan daha zayıf bir veri kümesiyle sonuçlandığını söyledi – ve şimdi onu indirmek isteyen herkese ücretsiz olarak sunuluyor.
Twitter tanıtıcılarıyla ilişkili e-postaların sızdırılmasıyla ilgili siber tehlikenin yanı sıra, halka açık veriler bile yüksek düzeyde hedefli saldırılar için kullanılabilir.
Spesifik olarak, bir kişinin 360 derecelik bir görünümünü – ilgi alanları, beğenileri, içinde bulundukları sosyal çevreler ve hatta kurumsal faaliyetler (unutmayın, Twitter tanıtıcıları, genellikle doğrudan iletişim bilgileri yerine kurumsal sitelerde kullanılır ve bu nedenle, saldırganların Twitter’ın kendisinin çok dışında, kullanıcının web varlığını izlemek için kullanabileceği meta etiketler olarak işlev görebilir).
Bu durumda, kullanışlı bir veritabanında hacim olarak çok fazla veri toplandığı için, bu süreç ve yol açabileceği saldırılar artık otomatikleştirilebilir. Bu sadece sosyal medya kullanıcıları için değil, hem Facebook hem de platformların kendileri için gerçek bir sorun olabilir. LinkedIn geçmiş veri kazıma olayları için para cezaları ve genel sıcak su ile karşı karşıya kaldı. Ve akıllara durgunluk veren sayıda genel kullanıcı profilinin ve gönderisinin kazındığı ve site kullanıcılarına siyasi mesajları hedeflemek için kullanıldığı eski Cambridge Analytica skandalını kim unutabilir?
Synopsys’in yardımcı yazılım güvenlik danışmanı Jamie Boote’a göre, takip eden herhangi bir siber saldırıdan (veya etki hedeflemesinden) kendinizi nasıl koruyacağınız konusunda en iyi uygulamalar hala geçerli.
E-posta yoluyla “Her zaman olduğu gibi, kötü niyetli kişiler e-posta adresinizi ele geçirdi” dedi. “Güvende olmak için, kullanıcılar Twitter şifrelerini değiştirmeli ve başka siteler için kullanılmadığından emin olmalılar. Ve bundan sonra, kimlik avı dolandırıcılıklarından kaçınmak için Twitter’dan gelmiş gibi görünen tüm e-postaları silmek muhtemelen en iyisi.”
Siber saldırganların zengin veri profilleri oluşturmasını kolaylaştırmaktan kaçınmak için sosyal medyada herkese açık olarak paylaşılanlara dikkat edilmesi açısından da uyarıcı bir hikaye var.
Ve Gizlilik İşleri’nden Zoltan, öğrenilmesi gereken bir ders daha verdi: “Şu anda çok popüler bir yöntem olmasa da, e-postaları bir ana adrese yönlendirirken ‘kullanıcı’ e-posta adreslerini veya çevrimiçi hesaplar için ayrı e-posta adreslerini kullanmak da yararlı olacaktır. Bu şekilde, bir Twitter veya başka bir hesapla ilişkili e-posta adresi sızdırılsa bile, son kullanıcının kimliği veya diğer çevrimiçi hizmetlerle ilişkilendirilemez.”