Was du wissen musst
- Eine Sicherheitslücke, die Twitter zuvor angeblich behoben hatte, könnte zur Kompromittierung von Millionen von Benutzerdaten geführt haben.
- Berichten zufolge wurden über 5,4 Millionen Twitter-Benutzerdatensätze kostenlos in einem Hacker-Forum geteilt.
- Dieselbe Schwachstelle soll auch zu einem größeren Datendump mit „zig Millionen“ Benutzerdaten geführt haben.
Eine alte Sicherheitslücke, von der Twitter behauptete, sie sei Anfang des Jahres behoben worden, geistert weiterhin in den sozialen Netzwerken herum Medienunternehmen, und es scheint weitaus schwerwiegendere Auswirkungen auf die Sicherheit zu haben, als wir zunächst hatten vermutlich.
BleepingComputer berichtet, dass persönliche Daten von etwa 5,4 Millionen Twitter-Nutzern, die aufgrund einer API-Sicherheitslücke gestohlen wurden, in einem Hacker-Forum frei geteilt wurden. Dabei handelt es sich offenbar um denselben Daten-Dump, den ein Hacker angeblich im August für 30.000 US-Dollar verkauft hat.
Zur Erinnerung: Twitter
bestätigte im August die Existenz einer API-Schwachstelle Dadurch könnten Hacker erkennen, mit welchem Konto eine E-Mail-Adresse oder Telefonnummer verknüpft ist, und so möglicherweise die wahre Identität pseudonymer Konten preisgeben. Allerdings erklärte das Unternehmen damals, es habe keine Beweise dafür gefunden, dass dieser Fehler jemals ausgenutzt worden sei.Der neue BleepingComputer-Bericht weist darauf hin, dass dieser Datendump nicht nur kostenlos in einem Hacker-Forum angeboten wird, sondern dass auch andere Sätze gestohlener Daten aus derselben Sicherheitslücke hervorgegangen sind. Pompompurin, dem das Hacker-Forum Breached gehört, teilte BleepingComputer mit, dass sie den Daten-Dump erstellt hätten, nachdem sie den Fehler ausgenutzt hätten. Sie gaben auch zu, dass die Sicherheitslücke ursprünglich von einem anderen Hacker namens „Devil“ stammte.
Zusätzlich zu den 5,4 Millionen Benutzerdatensätzen übernimmt Pompompurin die Verantwortung für die Beschaffung von 1,4 Millionen Twitter-Profilen für gesperrte Konten. Der Hacker behauptete, dass dieser Daten-Dump über eine andere API abgerufen wurde, obwohl er nur privat mit einigen wenigen Personen geteilt wurde.
Möglicherweise haben jedoch auch andere Personen die API-Sicherheitslücke ausgenutzt. Der Sicherheitsexperte Chad Loder hat enthüllt, dass möglicherweise zig Millionen Twitter-Benutzerdaten über dieselbe API abgerufen wurden. Dieser Datendump umfasst offenbar private Telefonnummern sowie öffentliche Informationen wie Kontonamen und Twitter-ID.
Loder teilte eine redigierte Auswahl dieses Datensatzes auf Mastodon, da er kurz nach der Veröffentlichung derselben Informationen auf Twitter gesperrt wurde. Die betroffenen Twitter-Konten sollen ihren Sitz in der EU und den USA haben und der Verstoß sei offenbar „nicht früher aufgetreten“. als 2021.“ BleepingComputer erfuhr, dass der Datendump mehr als 17 Millionen Datensätze enthielt, konnte dies jedoch nicht bestätigen Das.
Laut BleepingComputer konnte die Echtheit der durchgesickerten Telefonnummern bestätigt werden und es stellte sich heraus, dass es sich dabei um separate Aufzeichnungen aus dem vorherigen Datenschatz handelte. Dies bedeutet, dass die Datenschutzverletzung größer ist als bisher angenommen.
Android Central hat Twitter um einen Kommentar gebeten und wird diesen Artikel aktualisieren, sobald wir etwas hören.