Pamiętacie, że ostatni raz, kiedy wspominaliśmy o Twitterze na Tabletowo, chodziło o listopadowy wyciek danych użytkowników? Jak widzicie, w przypadku tej platformy historia lubi się powtarzać.
Twitter zaatakowany. Znowu
Niecałe półtora miesiąca temu donosiliśmy, że dane części użytkowników Twittera zostały przejęte przez hakerów. Nie była to akcja przeprowadzona z dnia na dzień – okazało się, że odpowiedzialni za włamanie skorzystali z luki w zabezpieczeniach API Twittera, która została ujawniona w 2022 roku w programie nagród dla poszukiwaczy luk w kodzie HackerOne. W listopadzie mówiło się o ponad 5 mln kont dotkniętych atakiem. W ujawnionym najnowszym włamie okazało się, że liczba poszkodowanych użytkowników jest wielokrotnie większa.
Ponownie źródłem informacji jest serwis BleepingComputer, który przy okazji potwierdził prawdziwość wielu danych adresowych, które pojawiły się w bazie. Wychodzi na to, że jest to rozwinięcie listopadowej listy, gdyż część linijek powtarza się w obu plikach.
Dane zostały udostępnione w archiwum RAR, zawierającym sześć plików tekstowych o łącznej wadze 59 GB. Biorąc pod uwagę fakt, że (według różnych źródeł) Twittera odwiedza miesięcznie ponad 400 milionów użytkowników, skala wycieku jest naprawdę potężna.
Każda linijka poświęcona jest jednemu użytkownikowi oraz informacjom z nim powiązanym – adresami e-mail, nazwą, liczbą obserwujących oraz datą utworzenia konta. W przeciwieństwie do poprzedniego wycieku, tym razem nie udostępniono danych czy konto zostało uznane za zweryfikowane.
Czy zostałem zaatakowany? Co dalej?
Jeżeli chcecie dowiedzieć się, czy wasze konto zostało zaatakowane, możecie odwiedzić w tym celu stronę Have I Been Pwned. 5 stycznia serwis został zaktualizowany o bazę danych niedawnego wycieku z Twittera. Wystarczy wpisać swój e-mail i odczekać kilka sekund. Jeżeli system znajdźcie wasz adres w bazie, otrzymacie potwierdzenie w liście poniżej wypełnionego pola.
Jeżeli padliście ofiarą ataku, możliwe, że nie macie powodów do większych obaw. Hakerzy nie zdobyli informacji dot. waszych haseł czy numerów telefonu. Niewykluczone jednak, że informacje zostaną wykorzystane w atakach phishingowych, gdzie przestępca podszywa się pod inną osobę w celu wyłudzenia poufnych danych.
O wiele gorzej sytuacja miewa się dla tych, którzy preferowali udostępniać swoje wpisy anonimowo. Możliwe, że dzięki temu wyciekowi osoby chętne do ujawnienia prawdziwej tożsamości niektórych użytkowników będą w stanie to zrobić. Niestety, niewiele możecie uczynić w tej sytuacji – jedyne, co mi przychodzi do głowy, to nowe konto pod niekojarzącą się z poprzednim nazwą oraz pod innym adresem e-mail.