Esetünkben ez most nem egy irodalmias szófordulat, hanem maga a valóság. Az utóbbi időben a Twitter egymás után kapja a kemény csapásokat, előbb Elon Musk mégsem akarja felvásárolni őket ;-), most pedig egy csomó kiszivárgott, ellopott adat került illetéktelen kezekbe.
Egy Devil nevezetű hacker 5.4 millió Twitter fiók adatot kínált eladásra egy darknetes fórumban. Az adatcsomagot, amely e-mail címek mellett például telefonszámokat is tartalmaz, állítása szerint egy korábbi sebezhetőség kihasználásával tudta megszerezni.
Az érintett felhasználók különféle kaliberűek, a hétköznapi júzerektől a celebeken át vállalati fiókok is vannak a felkínált egész pontosan 5,485,636 account között.
A csomag ára 30 ezer dollárért cserélhet gazdát. A Bleeping Computer kapcsolatba lépett az eladóval, aki úgy nyilatkozott, hogy egy 2021. decemberi Android platformon szereplő sérülékenység kihasználásával jutott az elkövető ezekhez az adatokhoz, és már kapott is érdeklődéseket potenciális vásárlóktól.
A hivatkozott sebezhetőségről a HackerOne oldalán 2022. január 1-én beszámoló "zhirinovskiy" nevű biztonsági szakember bejegyzése szerint ez lehetővé tette, hogy illetéktelenek hitelesítés nélkül szerezzenek meg azonosítókat, és a Bug Bounty program keretében ő ezért a felfedezésért 5 ezer dollárt kapott.
Devil az üzenetváltásban viszont tagadta, hogy bármilyen kapcsolatban állt volna a fenti biztonsági szakértővel, vagy hogy a HackerOne-ról értesült volna a dologról. A Twitter végül január 13-án befoltozta ezt a fórumban is említett hibát, ám a most megjelentetett adatcsomaggal kapcsolatosan nem ismerte el, hogy ez a jelentős adatsértés emiatt valóban bekövetkezett volna. Az eladó által mutatott részleges minta alapján azonban az adatok valósnak és érvényesnek látszanak.
A Twitter felhasználók viszont eközben azt sérelmezik, hogy nem kaptak semmilyen hivatalos figyelmeztetést a szolgáltatótól emiatt a kihasználható, és a helyzet szerint ki is használt sebezhetőséggel kapcsolatban.
Mi most mindenesetre figyelmeztetünk mindenkit, rendszeresen frissítsen, legyen óvatos a Twitter bejelentkezésnél, kapcsolja be a kétfaktoros autentikációt, és számítson rá, hogy a közeljövőben különféle testre szabott adathalász támadások érkezhetnek attól, aki ezt az adathalmazt birtokolja, megvásárolja.
Érdemes lehet azonnal jelszót változtatni, és ha valaki ugyanazt az azonos jelszót használta több, különböző szolgáltatásnál, akkor itt az ideje egyedi és erős jelszavakat választani. Ezek megjegyzésében segíthet például a KeePass vagy a BitWarden jelszómenedzser.