Personlige oplysninger om mere end 400 millioner Twitter-konti bliver angiveligt udbudt til salg på det åbne web efter et påstået databrud på den populære mikroblogging-tjeneste. Men hvad er det egentlig, der er til salg, og hvordan kan du beskytte dig selv?
Hvad skete der i det påståede Twitter-databrud i december 2022?
Den 23. december 2022 annoncerede en bruger på et populært databrudsforum, at de solgte private data fra 400 millioner brugere, som blev skrabet ved hjælp af en sårbarhed i Twitter API.
Mens brugeren tilbød dataene til salg direkte, gav de også et tilbud til Twitters administrerende direktør Elon Musk, lovende eksklusivitet og mulighed for at undgå millioner af dollars i bøder fra databeskyttelsesmyndigheder og regulatorer, som Registeret rapporter:
Twitter eller Elon Musk, hvis du læser dette, risikerer du allerede en GDPR-bøde på over 5,4 mio. brud, der afbilder bøden på 400 mio.
Jeg vil rådgive dig, Din bedste mulighed for at undgå at betale $276 millioner USD i GDPR-overtrædelsesbøder, som Facebook gjorde (pga. 533 millioner brugere bliver skrabet) er udelukkende at købe disse data, som kan gå gennem den officielle ejer mellemmand her @[redigeret] eller admin @[redigeret] derefter vil jeg slette denne tråd og vil ikke sælge disse data igen.
MUO har set et begrænset udsnit af disse data, og selvom vi ikke kan bekræfte deres ægthed, ser det ud til, at de viser e-mailadresse, navn, brugernavn, kontooprettelsesdato og brugerantal. Omkring halvdelen af de anførte konti indeholder også telefonnumre.
Twitter har i øjeblikket ingen kommunikationsmedarbejdere at kontakte for kommentarer.
Som nævnt af den påståede hacker, står Twitter allerede over for juridiske problemer, og Databeskyttelseskommissionen af Irland påbegyndte for nylig en undersøgelse af et databrud i august 2022, som påvirkede 5,4 millioner Twitter-brugere, ifølge TechGenix.
Hvad kan kriminelle gøre med oplysninger fra Twitter-brud?
At have nogen af dine personlige oplysninger udbudt til salg af kriminelle er dårligt - især hvis folk, der er villige til at bruge penge på at købe det, er også kriminelle, der forventer et afkast på deres investering.
E-mailadresser kan bruges til at lette social engineering og spearphishing angreb mod dig eller dine kontakter. Disse kan være særligt effektive, når de kombineres med det store væld af personlige oplysninger, du deler på din Twitter-konto. Telefonnumre bruges ofte som en del af en to-faktor autentificering (2FA) system til PayPal og bank. Cyberkriminelle med kendskab til dit telefonnummer kan bruge det til at hjælpe dem med at lave et SIM-bytteangreb og give sig selv adgang til dit telefonnummer og derfra til dine økonomiske konti.
Hvordan kan du beskytte dig selv efter det påståede Twitter-brud?
Selvom der ikke er nogen bekræftelse på, at oplysningerne vil blive frigivet til private købere, eller hvis de endda er ægte, kan de potentielt bruges af kriminelle til at hjælpe med at målrette dig. Hvis du bruger din e-mailadresse til en anden konto, skal du straks ændre den på disse konti. Ligeledes bør du fjerne linket til det telefonnummer, der bruges til din Twitter-konto, fra andre konti.
Fremadrettet bør du bruge e-mail-aliasing for enhver konto, du tilmelder dig, og hvor det er muligt, bruge et sekundært telefonnummer. SMS eller telefonbaserede 2FA-systemer har længe været betragtet som usikre, og du bør flytte til app-baseret 2FA i stedet.
Twitter er ikke den eneste mikrobloggingplatform
2022 har ikke været det bedste år for Twitter, og udover det seneste påståede sikkerhedsbrud har det også mistet omkring halvdelen af sine medarbejdere, inklusive hele sin kommunikationsafdeling. Hvis du er bekymret for sikkerheden og den potentielle levetid for Twitter fremover, kan du overveje at bruge en alternativ platform.