Си-Эн-Эн
—
По словам экспертов по безопасности, адреса электронной почты, связанные с более чем 200 миллионами профилей в Twitter, в настоящее время циркулируют на подпольных хакерских форумах. Очевидная утечка данных может раскрыть реальные личности анонимных пользователей Twitter и облегчить преступникам захват учетных записей Twitter, предупреждают эксперты, или даже учетных записей жертв на других веб-сайтах.
Куча просочившихся записей также включает в себя имена пользователей Twitter, идентификаторы учетных записей, номера подписчиков и даты создания учетных записей, согласно спискам форумов, рассмотренным исследователями безопасности и переданным CNN.
«Плохие актеры выиграли джек-пот», — сказал Рафи Мендельсон, представитель Cyabra, фирмы, занимающейся анализом социальных сетей, которая занимается выявлением дезинформации и недостоверного поведения в Интернете. «Ранее личные данные, такие как электронные письма, дескрипторы и дата создания, могут быть использованы для создания более умных и сложных кампаний по взлому, фишингу и дезинформации».
В некоторых сообщениях говорилось, что данные были собраны в 2021 году из-за ошибки в системах Twitter, ошибки компании. исправлено в 2022 году после отдельного инцидента в июле с участием 5,4 миллиона учетных записей Twitter компания предупредила об уязвимости.
Трой Хант, исследователь безопасности, сказал В четверг, что его анализ данных «обнаружил 211 524 284 уникальных адреса электронной почты». что было слито. «Вашингтон пост» ранее сообщил список форумов, продвигающий данные 235 миллионов учетных записей.
Хант не сразу ответил на вопрос CNN о том, будут ли записи добавлены на его веб-сайт. haveibeenpwned.com, что позволяет пользователям искать взломанные записи, чтобы определить, были ли они затронуты. CNN не проводила независимую проверку подлинности записей.
Twitter не сразу ответил на запрос о комментарии. Его команда по связям с общественностью, а также примерно половина всей рабочей силы Twitter, были выпотрошены после того, как миллиардер Илон Маск завершил приобретение компании в конце октября. Значительное сокращение персонала теперь может усугубить опасения по поводу способности компании реагировать на угрозы безопасности.
Обширность утекших данных может позволить злоумышленникам или репрессивным правительствам связать анонимные дескрипторы Twitter с настоящими именами или адресами электронной почты их владельцев, потенциально разоблачая диссидентов, журналистов, активистов или других пользователей из группы риска по всему миру, предупреждают исследователи безопасности.
«Для этих людей это очень серьезное нарушение», — сказал Джон Скотт-Рейлтон, исследователь безопасности из Citizen Lab Университета Торонто.
Данные учетной записи также могут быть полезны хакерам, которые могут использовать эту информацию для попыток сброса пароля и захвата учетной записи. По словам исследователей, риск особенно высок для людей, которые используют те же учетные данные в Twitter, что и для других цифровых сервисов, таких как банки или облачные хранилища, поскольку хакеры могут использовать информацию, полученную в результате утечки, чтобы взломать учетные записи пользователей в другом месте.
Эксперты по безопасности предупредили, что проверенные пользователи Twitter, которые попали в очевидную утечку, или пользователи с особенно большим количеством подписчиков станут особенно ценными целями в результате утечки, поскольку эти владельцы учетных записей могут быть особенно влиятельными знаменитостями или уязвимыми для вымогательства.
Чтобы защитить себя от попыток фишинга, интернет-пользователи должны использовать уникальные пароли для каждой онлайн-службы и отслеживать их с помощью менеджера цифровых паролей, говорят исследователи безопасности. Им также следует включить многофакторную аутентификацию для каждой из своих учетных записей и проявлять осторожность при открытии нежелательной электронной почты или ссылок.
По данным информационного агентства кибербезопасности Пищит Компьютер, который утверждал, что проверяет данные, последний дамп похож на просочившийся набор данных, рекламируемый на хакерских форумах в ноябре, содержащий якобы 400 миллионов записей, но уменьшенный, чтобы исключить некоторые повторяющиеся записи. Twitter не прокомментировал эту утечку.
Сообщения об утечке могут увеличить и без того значительный юридический и нормативный риск Twitter.
В декабре главный европейский регулятор конфиденциальности Twitter, Ирландская комиссия по защите данных, заявила, что расследование утечка в июле 2022 года как возможное нарушение европейского закона о конфиденциальности подписи, известного как GDPR.
Прошлым летом бывший глава службы безопасности компании Пайтер «Мадж» Затко подал заявление. отчет осведомителя правительству США, утверждая, что в работе Twitter давно игнорируются уязвимости в системе безопасности. Затко заявил, что недостатки Twitter в области безопасности отражают нарушение обязательных обязательств Twitter перед Федеральной торговой комиссией, что является серьезным нарушением. (Твиттер широко и неоднократно опровергал обвинения Затко.)
Последовательные инциденты в Twitter привели к тому, что с 2011 года компания подписала два приказа о согласии с Федеральной торговой комиссией США, чтобы улучшить свою позицию в области кибербезопасности. Нарушения Федеральной торговой комиссии приказы могут привести к штрафам, деловым ограничениям и даже санкциям в отношении отдельных руководителей.
В ноябре высшие должностные лица Twitter, ответственные за конфиденциальность и безопасность, уволились из компании, всего через несколько дней после того, как Маск закрыл покупку платформы, и на фоне массовых увольнений, в результате которых в некоторых случаях были сокращены целые отделы.
