Die einst verkauften Nutzerdaten aus einem Twitter-Datenleck stehen mittlerweile kostenlos zur Verfügung. Doch es gibt noch weitaus mehr...
Bisher machten infolge eines Datenlecks von Twitter über 5,4 Millionen Nutzerdaten der Plattform in Hacker-Foren die Runde. Der Daten-Dump, der einst 30.000 US-Dollar kostete, ist inzwischen kostenlos verfügbar. Doch jetzt ist ein noch viel größerer Datensatz aufgetaucht, der mitunter Millionen privater Telefonnummern europäischer Nutzer enthält.
5,4 Millionen Datensätze aus Twitter-Datenleck nun kostenlos abrufbar
Über eine im Januar behobene API-Schwachstelle rief ein Angreifer zuvor mehr als 5,4 Millionen Datensätze von Twitter-Nutzern ab. Zunächst standen die Daten im Breached-Hacking-Forum für 30.000 US-Dollar zum Verkauf, wie wir im Juli berichteten. Doch inzwischen hat sich das Twitter-Datenleck einen neuen Weg gebahnt.
Denn nun stehen die gestohlenen Datensätze kostenlos bereit. Sie enthalten neben öffentlich zugänglichen Informationen wie Twitter-IDs, Standorten, Followern und Namen mitunter auch private Telefonnummern und E-Mail-Adressen von Nutzern des sozialen Netzwerks.
Weitere 1,4 Millionen suspendierte Konten von Datenpanne betroffen
Wie BleepingComputer berichtet, umfasste das Datenleck neben den bekannten 5,4 Millionen Datensätzen noch weitere Daten von 1,4 Millionen suspendierten Twitter-Profilen. Diese hatten Angreifer über eine andere API gesammelt, die jedoch ebenfalls private Informationen lieferte. Ein Verkauf des kleineren Datensatzes habe bisher nicht stattgefunden.
Die zuvor genannten 5,4 Millionen Datensätze stehen jedoch neuerdings öffentlich in einem Hackerforum zum Download bereit. Pompompurin, der Besitzer des Breached-Hacking-Forums, bestätigte, dass es sich um dieselben 5.485.635 Benutzerdaten des Twitter-Datenlecks handelt, die im August zum Verkauf standen.
Ein noch viel größerer Daten-Dump ist aufgetaucht
Unter Verwendung des gleichen API-Bugs sollen Angreifer sogar einen noch größeren Daten-Dump erstellt haben, als bisher bekannt war. Darauf wies der Sicherheitsexperte Chad Loder hin, dessen Twitter-Konto nach Verbreitung der Botschaft eine Sperre erhielt. Schließlich wich er auf Mastodon aus, wo er einen Auszug der Datenpanne teilte.
Loder merkte an, dass der Datensatz sogar Nutzerdaten ganzer Länder enthalte. „Ich habe eine Auswahl der betroffenen Konten kontaktiert und sie haben bestätigt, dass die verletzten Daten korrekt sind„, teilte er auf Twitter mit.
BleepingComputer untersuchte daraufhin eine Beispieldatei, die allein fast 1,4 Millionen Telefonnummern von Nutzern aus Frankreich enthielt. Auch hier fand eine stichprobenartige Prüfung statt, die bestätigte, dass die Daten echt sind.
Offenbar wussten noch mehr Angreifer von dem Twitter-Datenleck
Ferner sei keine der in dem geprüften Datensatz enthaltenen Rufnummern in den zuvor verkauften Daten enthalten. Das zeigt, dass das Ausmaß der Datenpanne bei Twitter bisher deutlich unterschätzt wurde. Auch Pompompurin war dies nicht bekannt. Somit handelt es sich wahrscheinlich um andere Angreifer, die die API-Schwachstelle ebenfalls ausnutzten.
Insgesamt soll der neu entdeckte Daten-Dump aus 17 Millionen Datensätzen bestehen, die nach Ländern und Vorwahlen organisiert sind. Darunter auch zahlreiche Nutzerdaten aus Europa und den USA.
Es ist anzunehmen, dass Angreifer die Daten aktiv für Phishing-Angriffe ausnutzen. Wer Mails, SMS oder Anrufe unter seinen bei Twitter hinterlegten Kontaktdaten erhält, sollte daher besonders wachsam bleiben.