ما يعنيه بالفعل تسرب 200 مليون بريد إلكتروني على Twitter

بعد التقارير التي تفيد بأن المتسللين كانوا يبيعون بيانات مسروقة من 400 مليون مستخدم على تويتر بحلول نهاية عام 2022 ، قد تكون عناوين البريد الإلكتروني الموزعة على نطاق واسع والمرتبطة بحوالي 200 مليون مستخدم نسخة مطهرة من المجموعة الضخمة مع إزالة الإدخالات المكررة ، كما يقول الباحثون. لم تعلق الشبكة الاجتماعية بعد على الكشف الهائل ، لكن ذاكرة التخزين المؤقت للبيانات توضح مدى خطورة التسريب ومن قد يكون أكثر عرضة لخطر نتيجة لذلك.

بين يونيو 2021 ويناير 2022 ، حدث خطأ في واجهة برمجة تطبيقات Twitter ، أو API ، والتي سمحت للمهاجمين بإرسال معلومات الاتصال ، مثل عناوين البريد الإلكتروني ، وتلقي حساب Twitter المرتبط بدلاً من ذلك. قبل أن يتم تصحيحه ، استخدم المهاجمون الخلل “لكشط” البيانات من الشبكة الاجتماعية. على الرغم من أن الخطأ لم يسمح للمتسللين بالوصول إلى معلومات حساسة أخرى مثل كلمات المرور أو الرسائل المباشرة ، إلا أنه كشف روابط بين حسابات Twitter ، والتي غالبًا ما تكون أسماء مستعارة ، وعناوين البريد الإلكتروني وأرقام الهواتف المرتبطة بها ، والتي من المحتمل أن تحدد هوية المستخدمين.

بينما كانت حية ، تم استغلال الثغرة الأمنية من قبل جهات فاعلة متعددة لإنشاء مجموعات بيانات مختلفة. واحد تم تداوله في منتديات الجريمة منذ الصيف يتضمن عناوين البريد الإلكتروني وأرقام الهواتف حوالي 5.4 مليون مستخدم تويتر. يبدو أن المجموعة الضخمة التي ظهرت حديثًا تحتوي على عناوين بريد إلكتروني فقط. ومع ذلك ، فإن الانتشار الواسع للبيانات يخلق خطر شن هجمات التصيد الاحتيالي ومحاولات سرقة الهوية واستهداف شخصي آخر.

لم يستجب تويتر لطلبات WIRED للتعليق. شركة كتب حول ثغرة API في إصدار أغسطس: “عندما علمنا بها ، قمنا بالتحقيق فيها وإصلاحها على الفور. في ذلك الوقت ، لم يكن لدينا دليل على أن أي شخص قد استغل الثغرة الأمنية. القياس عن بعد على Twitter غير كافٍ لاكتشاف الكشط الضار.

تويتر ليس المنصة الأولى التي تعرض البيانات للتجريف الجماعي من خلال عيب في واجهة برمجة التطبيقات ، ومن الشائع أن تكون في مثل هذه المواقف. إنه مربك في عدد مجموعات البيانات المختلفة الموجودة بالفعل نتيجة الاستغلال الخبيث. ومع ذلك ، لا تزال هذه الحوادث مهمة لأنها تضيف المزيد من الروابط والتحقق من صحة المجموعة الهائلة من البيانات المسروقة الموجودة بالفعل في النظام البيئي الإجرامي حول المستخدمين.

“على ما يبدو ، هناك العديد من الأشخاص الذين يدركون ضعف واجهة برمجة التطبيقات هذه والعديد من الأشخاص الذين قاموا بحذفها. هل قام أشخاص مختلفون بمسح أشياء مختلفة؟ كم عدد القوات هناك؟ يقول تروي هانت ، مؤسس موقع HaveIBeenPwned لمراقبة الاختراقات ، “لا يهم”. استهلك Hunt مجموعة بيانات Twitter في HaveIBeenPwned ويقول إنه يمثل معلومات حول أكثر من 200 مليون حساب. تم بالفعل كشف ثمانية وتسعين بالمائة من عناوين البريد الإلكتروني في الانتهاكات السابقة التي سجلتها شركة HaveIBeenPwned. يقول هانت إنه أرسل إخطارات بالبريد الإلكتروني إلى ما يقرب من 1064.000 من مشتركي البريد الإلكتروني في خدمته البالغ عددهم 4400.000 مليون.

يقول: “إنها المرة الأولى التي أرسل فيها بريدًا إلكترونيًا مكونًا من سبعة أرقام”. “ما يقرب من ربع إجمالي قاعدة المشتركين الخاصة بي رائع حقًا. لكن نظرًا لأن كل هذا كان موجودًا بالفعل ، لا أعتقد أنه سيكون حادثًا طويل الأمد من حيث التأثير. لكنها يمكن أن تكشف عن الناس. أكثر ما يقلقني هو الأشخاص الذين يريدون الحفاظ على خصوصيتهم.

كتب Twitter في أغسطس أنه يشارك مخاوف بشأن احتمال ربط حسابات المستخدمين بأسماء مستعارة بهوياتهم الحقيقية نتيجة لثغرة في واجهة برمجة التطبيقات.

وكتبت الشركة: “نحن نتفهم المخاطر التي يمكن أن تحدثها حادثة كهذه إذا كنت تدير حسابًا على تويتر باسم مستعار ، ونأسف بشدة لحدوث ذلك”. “لإخفاء هويتك قدر الإمكان ، نوصي بعدم إضافة رقم هاتف أو عنوان بريد إلكتروني معروف للجمهور إلى حساب Twitter الخاص بك.”

بالنسبة للمستخدمين الذين لم يربطوا مقابض Twitter الخاصة بهم بحسابات البريد الإلكتروني لـ Burner في وقت الكشط ، فإن النصيحة تأتي بعد فوات الأوان. في أغسطس ، قالت الشبكة الاجتماعية إنها ستخطر الأشخاص المستضعفين بشأن الوضع. ولم تذكر الشركة ما إذا كانت ستصدر المزيد من الإعلانات في ضوء مئات الملايين من السجلات المكشوفة.

هيئة حماية البيانات في أيرلندا قال وهي تحقق في حادثة الشهر الماضي أدت إلى اختراق عناوين البريد الإلكتروني وأرقام الهواتف لـ 5.4 مليون مستخدم. يخضع موقع Twitter حاليًا للتحقيق من قبل لجنة التجارة الفيدرالية الأمريكية بشأن ما إذا كانت الشركة قد انتهكت “أمر الموافقة” الذي يجبر Twitter على تحسين خصوصية المستخدم وإجراءات حماية البيانات.

ظهرت هذه القصة أولاً wire.com.