Nach Berichten bei Ende 2022, als Hacker gestohlene Daten von 400 Millionen Twitter-Nutzern verkauften, sagen Forscher jetzt, dass eine weit verbreitete Fundgrube von E-Mail-Adressen, die mit etwa 200 Millionen Benutzern verknüpft sind, wahrscheinlich eine verfeinerte Version der größeren Fundgrube ist, bei der doppelte Einträge entfernt wurden. Das soziale Netzwerk hat die massive Offenlegung noch nicht kommentiert, aber der Datencache klärt die Schwere des Lecks und wer dadurch möglicherweise am stärksten gefährdet ist.
Von Juni 2021 bis Januar 2022 gab es einen Fehler in einer Programmierschnittstelle oder API von Twitter, der es Angreifern ermöglichte, Kontaktinformationen wie E-Mail-Adressen zu übermitteln und im Gegenzug das zugehörige Twitter-Konto zu erhalten, falls vorhanden. Bevor es gepatcht wurde, nutzten Angreifer den Fehler aus, um Daten aus dem sozialen Netzwerk zu „kratzen“. Und während der Fehler es Hackern nicht erlaubte, auf Passwörter oder andere sensible Informationen wie DMs zuzugreifen, enthüllte er die Verbindung zwischen Twitter-Konten, die oft pseudonym sind, und den damit verknüpften E-Mail-Adressen und Telefonnummern, wodurch Benutzer möglicherweise identifiziert werden könnten.
Während sie live war, wurde die Schwachstelle anscheinend von mehreren Akteuren ausgenutzt, um verschiedene Datensammlungen aufzubauen. Eines, das seit dem Sommer in Kriminalforen kursiert, enthielt die E-Mail-Adressen und Telefonnummern von etwa 5,4 Millionen Twitter-Nutzern. Die riesige, neu aufgetauchte Fundgrube scheint nur E-Mail-Adressen zu enthalten. Die weite Verbreitung der Daten birgt jedoch das Risiko, dass sie Phishing-Angriffe, Identitätsdiebstahlversuche und andere individuelle Angriffe befeuern.
Twitter hat auf Anfragen von WIRED nach Kommentaren nicht geantwortet. Das Unternehmen schrieb über die API-Schwachstelle in einer Offenlegung vom August: „Als wir davon erfuhren, haben wir es sofort untersucht und behoben. Zu diesem Zeitpunkt hatten wir keine Beweise dafür, dass jemand die Schwachstelle ausgenutzt hatte.“ Anscheinend reichte die Telemetrie von Twitter nicht aus, um das böswillige Scraping zu erkennen.
Twitter ist bei weitem nicht die erste Plattform, die Daten durch einen API-Fehler einem Massen-Scraping aussetzt, und es kommt in solchen Szenarien häufig vor, dass Verwirrung darüber herrscht, wie viele verschiedene Datenbestände tatsächlich als Ergebnis einer böswilligen Ausnutzung vorhanden sind. Diese Vorfälle sind jedoch immer noch von Bedeutung, da sie der massiven Menge gestohlener Daten, die bereits im kriminellen Ökosystem über Benutzer vorhanden sind, weitere Verbindungen und Validierungen hinzufügen.
„Offensichtlich gibt es mehrere Personen, die sich dieser API-Schwachstelle bewusst waren, und mehrere Personen, die sie ausgespäht haben. Haben verschiedene Leute verschiedene Dinge abgekratzt? Wie viele Fundgruben gibt es? Es spielt keine Rolle“, sagt Troy Hunt, Gründer der Website zur Verfolgung von Sicherheitsverletzungen HaveIBeenPwned. Hunt hat den Twitter-Datensatz in HaveIBeenPwned aufgenommen und sagt, dass er Informationen über mehr als 200 Millionen Konten enthielt. Achtundneunzig Prozent der E-Mail-Adressen waren bereits bei früheren Verstößen offengelegt worden, die von HaveIBeenPwned aufgezeichnet wurden. Und Hunt sagt, er habe Benachrichtigungs-E-Mails an fast 1.064.000 der 4.400.000 Millionen E-Mail-Abonnenten seines Dienstes gesendet.
„Es ist das erste Mal, dass ich eine siebenstellige E-Mail verschicke“, sagt er. „Fast ein Viertel meines gesamten Abonnentenkorpus ist wirklich bedeutend. Aber da so viel davon bereits da draußen war, glaube ich nicht, dass dies ein Vorfall sein wird, der in Bezug auf die Auswirkungen einen langen Schwanz haben wird. Aber es kann Menschen de-anonymisieren. Was mir mehr Sorgen macht, sind die Personen, die ihre Privatsphäre wahren wollten.“