Eliška Červinková 
Údaje z Twitteru k prodeji
AppleInsider může získat přidruženou provizi za nákupy uskutečněné prostřednictvím odkazů na našich stránkách.
Hacker nedávno tvrdil, že má data 400 milionů účtů na Twitteru, a nabízí je k prodeji, ačkoli bezpečnostní firmy pracují na ověření dat.
Výpis dat, zveřejněný na fóru Breached hacking uživatelem jménem „Ryushi“, údajně obsahuje veřejná a soukromá data seškrábaná v roce 2021 pomocí zranitelnosti API, která byla mezitím opravena. Požadují 200 000 dolarů za poklad.
Ryushi do příspěvku zahrnul ukázková data pro některé veřejné osobnosti, včetně Marka Cubana, Donalda Trumpa Jr., Alexandrie Ocasio-Cortez a dalších. Mezi údaje obsažené v uživatelských profilech patří e-mailové adresy, jména, uživatelská jména, počty sledujících a telefonní čísla.
Hackerův příspěvek ve fóru Breached. Zdroj: BleepingComputer
Hacker řekl BleepingComputer že chtěli data prodat výhradně jednomu kupujícímu a data by následně smazali. Pokud se nenajde kupec, prodají kopie více lidem za 60 000 $ za kus. Ryushi řekl, že kontaktovali Twitter, ale nedostali odpověď, pravděpodobně proto, že konkrétní týmy ve společnosti byly propuštěny.
Chyba zabezpečení API
Ryushi potvrdil BleepingComputer že data shromáždili pomocí chyby API, kterou Twitter opravil v lednu 2022. Stejná zranitelnost byla dříve spojena se samostatným únikem dat v roce 2021.
Tato chyba zabezpečení umožňuje útočníkovi vkládat seznamy telefonních čísel a e-mailových adres do rozhraní API a přijímat přidružená ID uživatelů Twitteru.
„Získal jsem přístup pomocí stejného exploitu, který byl použit pro 5,4m úniku dat. Mluvil jsem s prodejcem a ten potvrdil, že to bylo v toku přihlášení na Twitter,“ řekl Ryushi. „Takže při kontrole duplikace uniklo uživatelské ID, které jsem převedl pomocí jiného API na uživatelské jméno a další informace.“
Podle společnosti Hudson Rock, která poskytuje informace o hrozbách, není v současné době možné plně ověřit, že v databázi je 400 milionů uživatelů. Uvedli však, že samotná data se zdají být legitimní.
Poznámka:V této fázi není možné plně ověřit, že je v databázi skutečně 400 000 000 uživatelů.
Na základě nezávislého ověření se údaje samy o sobě zdají být legitimní a my budeme sledovat další vývoj.
— Hudson Rock (@RockHudsonRock) 24. prosince 2022
Jak zůstat v bezpečí
Pro maximální bezpečnost by uživatelé Twitteru měli změnit e-mailovou adresu svého účtu, zejména pomocí služby, jako je Hide My Email. Je také důležité nepoužívat hesla opakovaně a generovat složitá pomocí správce hesel, jako je Bitwarden nebo iCloud Keychain.
Dalším krokem by mělo být přidání další vrstvy zabezpečení pomocí dvoufaktorové autentizace. Vyžaduje speciální jednorázový kód pro přihlášení k účtu, kromě uživatelského jména a hesla. Twitter má návod, jak na to udělat to tak.
Uživatelé by si také měli dávat pozor na e-maily, které vypadají podezřele, a vyhýbat se klikání na odkazy nebo otevírání příloh. Pokud například e-mail obsahuje odkaz na změnu hesla Twitteru, měli by lidé místo toho ručně přejít na web Twitteru a místo toho změnit přihlašovací údaje v nastavení účtu.
Zdroj: appleinsider.com
