Auf Breach Forums steht eine Datenbank für 30.000 USD zum Verkauf mit Telefonnummern und E-Mail-Adressen von 5,5 Millionen Twitter-Usern.
Eine bekannte Twitter-Schwachstelle vom Januar nutzte ein unbekannter Angreifer, um angeblich 5.485.636 Datensätze zu erbeuten. Zwar hat Twitter die Schwachstelle inzwischen gepatcht. Die aus diesem Exploit bezogene Datenbank wird jedoch aktuell auf Breach Forums zum Verkauf angeboten. Darüber berichtete Restore Privacy.
Bereits am 1. Januar diesen Jahres hat der User zhirinovskiy auf HackerOne, einer Bug-Bounty-Plattform, eine Schwachstelle gemeldet. Diese würde es einem Angreifer ermöglichen, die mit Twitter-Konten verknüpfte Telefonnummer und/oder E-Mail-Adresse zu erhalten, selbst wenn der Benutzer die entsprechenden Felder in den Datenschutzeinstellungen ausgeblendet hat. Der Fehler war spezifisch für den Android-Client von Twitter und trat beim Autorisierungsprozess auf. Zhirinovskiy beschrieb die möglichen Folgen dieser Schwachstelle dabei als eine ernsthafte Bedrohung, die Bedrohungsakteure ausnutzen könnten:
„Die Schwachstelle ermöglicht es jeder Partei ohne jegliche Authentifizierung, eine Twitter-ID (die fast dem Benutzernamen eines Kontos entspricht) eines beliebigen Benutzers zu erhalten, indem sie eine Telefonnummer/E-Mail-Adresse übermittelt, obwohl der Benutzer diese Aktion in den Datenschutzeinstellungen untersagt hat. Der Fehler besteht aufgrund des Autorisierungsprozesses, der im Android-Client von Twitter verwendet wird, insbesondere bei der Überprüfung der Duplizierung eines Twitter-Kontos.“
Twitter-Mitarbeiter erkannten fünf Tage nach der Veröffentlichung von User zhirinovskiy auf HackerOne die Sicherheitslücke als „gültiges Sicherheitsproblem“ an. Twitter behob das Problem daraufhin 12 Tage nach dem Bekanntwerden, also am 13 Januar, und hat zhirinovskiy ein Kopfgeld in Höhe von 5.040 US-Dollar zugesprochen.
User von Breached.to bietet Twitter-Datenbank u.a. mit Promi- und Unternehmens-Daten zum Verkauf
Aktuell bietet User devil im Hacking-Forum Breached Forums gewonnene Daten zum Verkauf für mindestens 30.000 US-Dollar. Er gibt an, die betreffende Twitter-Datenbank bestünde aus 5,5 Millionen User-Daten. Das Datenarchiv enthielte Prominente und Unternehmen ebenso, wie zufällige Personen u.a.
Ferner sollte man beachten, dass es in dieser Datenbank keine Passwörter gibt. Vielmehr enthält sie öffentlich verfügbare Twitter-Profilinformationen neben Telefonnummern und/oder E-Mail-Adressen, die User für die Anmeldung verwendeten. Die E-Mail-Adressen könne man zwar mit der „Passwort vergessen“-Funktion von Twitter verwenden. Ein Angreifer müsste jedoch separat Zugriff auf das Login-Passwort dieses E-Mail-Kontos haben.
Derzeit gibt es für Twitter-User noch keine Möglichkeit festzustellen, ob das eigene Konto von der Datenpanne betroffen war. Für Benutzer empfiehlt sich, aktuell besonders auf Phishing-Angriffe zu achten, z. B. E-Mails, die angeblich von PayPal, der Bank, Apple o.a. stammen und Login-Informationen anfordern.
Restore Privacy führte aus, dass der Twitter-Hack durch die im Januar entdeckte Schwachstelle ermöglicht wurde. Eine beigefügte Stichprobe im Forum soll von der Echtheit der Daten zeugen. Restore Privacy analysierte die Stichprobe und kam dabei zu folgendem Schluss:
„Die Datenbank umfasst Personen aus der ganzen Welt mit öffentlichen Profilinformationen sowie die E-Mail-Adresse oder Telefonnummer des Twitter-Benutzers, die sie mit dem Konto verwendeten. Alle Proben, die wir uns angesehen haben, stimmen mit Menschen aus der realen Welt überein, die man leicht mit öffentlichen Profilen auf Twitter überprüfen kann.“
Breached Forums bot noch am Anfang diesen Monats ein Datenleck mit 23 Terabyte an. Diesbezüglich standen personenbezogenen Daten für 10 Bitcoins zum Verkauf. Bei der Datenbank, gewonnen durch den Hack einer Polizeibehörde in Shanghai, handelte es sich um Daten von über 1 Milliarde chinesischer Einwohner.