روزي ستروف GettyImages
بعد تقارير في نهاية عام 2022 تفيد بأن المتسللين كانوا يبيعون بيانات مسروقة من 400 مليون مستخدم على تويتر ، يقول الباحثون الآن أن مجموعة دفينة من عناوين البريد الإلكتروني المنتشرة على نطاق واسع والمرتبطة بحوالي 200 مليون مستخدم من المحتمل أن تكون نسخة منقحة من المجموعة الأكبر مع إزالة إدخالات مكررة. لم تعلق الشبكة الاجتماعية بعد على الانكشاف الهائل ، لكن ذاكرة التخزين المؤقت للبيانات توضح مدى خطورة التسرب ومن قد يكون أكثر عرضة للخطر نتيجة له.
من يونيو 2021 حتى يناير 2022 ، كان هناك خطأ في واجهة برمجة تطبيقات Twitter ، أو API ، والتي سمحت للمهاجمين بإرسال معلومات الاتصال مثل عناوين البريد الإلكتروني واستلام حساب Twitter المرتبط ، إن وجد ، في المقابل. قبل أن يتم تصحيحه ، استغل المهاجمون الخلل “لكشط” البيانات من الشبكة الاجتماعية. وعلى الرغم من أن الخطأ لم يسمح للقراصنة بالوصول إلى كلمات المرور أو غيرها من المعلومات الحساسة مثل DMs ، إلا أنه كشف الاتصال بين حسابات Twitter ، والتي غالبًا ما تكون مستعارة ، وعناوين البريد الإلكتروني وأرقام الهواتف المرتبطة بها ، مما قد يؤدي إلى تحديد المستخدمين.
بينما كانت حية ، تم استغلال الثغرة الأمنية على ما يبدو من قبل جهات فاعلة متعددة لبناء مجموعات مختلفة من البيانات. أحدها الذي تم تداوله في المنتديات الجنائية منذ الصيف شمل عناوين البريد الإلكتروني وأرقام الهواتف لحوالي 5.4 مليون مستخدم على تويتر. يبدو أن المجموعة الضخمة التي ظهرت حديثًا تحتوي على عناوين بريد إلكتروني فقط. ومع ذلك ، فإن تداول البيانات على نطاق واسع يخلق خطرًا من أنها ستغذي هجمات التصيد الاحتيالي ومحاولات سرقة الهوية والاستهداف الفردي الآخر.
لم يرد Twitter على طلبات WIRED للتعليق. الشركة كتب حول ثغرة واجهة برمجة التطبيقات (API) في الكشف الصادر في أغسطس: “عندما علمنا بهذا الأمر ، قمنا بالتحقيق في الأمر وإصلاحه على الفور. في ذلك الوقت ، لم يكن لدينا أي دليل يشير إلى أن شخصًا ما قد استغل الثغرة الأمنية “. على ما يبدو ، لم يكن القياس عن بعد على Twitter كافياً لاكتشاف الكشط الضار.
تويتر ليس المنصة الأولى التي تعرض البيانات للتجريف الجماعي من خلال عيب في واجهة برمجة التطبيقات ، ومن الشائع في مثل هذه السيناريوهات أن يكون هناك ارتباك حول عدد مجموعات البيانات المميزة الموجودة بالفعل نتيجة للاستغلال الضار. ومع ذلك ، لا تزال هذه الحوادث مهمة ، لأنها تضيف المزيد من الاتصالات والتحقق من صحة المجموعة الهائلة من البيانات المسروقة الموجودة بالفعل في النظام البيئي الإجرامي حول المستخدمين.
من الواضح أن هناك العديد من الأشخاص الذين كانوا على دراية بثغرة واجهة برمجة التطبيقات هذه والعديد من الأشخاص الذين قاموا بإزالتها. هل قام أشخاص مختلفون بكشط أشياء مختلفة؟ كم عدد الدفائن هناك؟ يقول تروي هانت ، مؤسس موقع تتبع الاختراق HaveIBeenPwned ، إنه نوعًا ما لا يهم. استوعب Hunt مجموعة بيانات Twitter في HaveIBeenPwned وقال إنها تمثل معلومات حول أكثر من 200 مليون حساب. تم بالفعل كشف ثمانية وتسعين بالمائة من عناوين البريد الإلكتروني في الانتهاكات السابقة التي سجلتها HaveIBeenPwned. ويقول هانت إنه أرسل إخطارات بالبريد الإلكتروني إلى ما يقرب من 1064.000 من مشتركي البريد الإلكتروني في خدمته البالغ عددهم 4400.000 مليون.
يقول: “إنها المرة الأولى التي أرسل فيها بريدًا إلكترونيًا مكونًا من سبعة أرقام”. “ما يقرب من ربع مجموع مجموع المشتركين في قناتي مهم حقًا. لكن نظرًا لأن الكثير من هذا كان موجودًا بالفعل ، لا أعتقد أن هذا سيكون حادثًا له ذيل طويل من حيث التأثير. لكنها قد تحذف هوية الأشخاص. الشيء الذي يقلقني أكثر هو هؤلاء الأفراد الذين أرادوا الحفاظ على خصوصيتهم.
كتب Twitter في أغسطس أنه شارك هذا القلق بشأن احتمال ربط حسابات المستخدمين بأسماء مستعارة بهوياتهم الحقيقية نتيجة لثغرة واجهة برمجة التطبيقات.
وكتبت الشركة: “إذا كنت تدير حسابًا باسم مستعار على Twitter ، فإننا نتفهم المخاطر التي يمكن أن تحدثها حادثة كهذه ونأسف بشدة لحدوث ذلك”. “للحفاظ على إخفاء هويتك قدر الإمكان ، نوصي بعدم إضافة رقم هاتف أو عنوان بريد إلكتروني معروف بشكل عام إلى حسابك على Twitter.”
بالنسبة للمستخدمين الذين لم يربطوا بالفعل مقابض Twitter الخاصة بهم بحسابات البريد الإلكتروني الناسخ في وقت الكشط ، على الرغم من ذلك ، فإن النصيحة تأتي بعد فوات الأوان. في أغسطس / آب ، قالت الشبكة الاجتماعية إنها أبلغت الأفراد المحتمل تأثرهم بالموقف. لم تذكر الشركة ما إذا كانت ستقدم مزيدًا من الإخطار في ضوء مئات الملايين من السجلات المكشوفة.
قالت لجنة حماية البيانات الأيرلندية الشهر الماضي إنها تحقق في الحادث الذي أسفر عن 5.4 مليون مستخدم من عناوين البريد الإلكتروني وأرقام الهواتف. يخضع موقع Twitter حاليًا أيضًا للتحقيق من قبل لجنة التجارة الفيدرالية الأمريكية حول ما إذا كانت الشركة قد انتهكت “مرسوم الموافقة” الذي يلزم تويتر بتحسين خصوصية المستخدم وإجراءات حماية البيانات.
ظهرت هذه القصة في الأصل على wired.com.
