Wyciek danych 200 mln użytkowników Twittera. „Nie ma dowodów”

„Nie ma dowodów na to, że dane sprzedawane online zostały uzyskane poprzez wykorzystanie luki w zabezpieczeniach systemów Twittera” – stwierdzono w komunikacie.

Jak informowaliśmy na łamach CyberDefence24.pl na początku stycznia br., do sieci miało trafić ponad 200 mln adresów e-mail użytkowników Twittera, które miały zostać opublikowane na jednym z forów hakerskich. Prawdziwość wielu danych potwierdziła redakcja Bleeping Computer. Wyciek mógł spowodować zmasowaną kampanię phishingową, zagrożeniem było też ujawnienie tożsamości osób posiadających anonimowe konta.

W oficjalnym komunikacie o „domniemanym incydencie” Twitter zapewnia jednak, że „bardzo poważnie traktuje odpowiedzialność za ochronę prywatności” użytkowników.

Zapewniono, że załoga platformy przeprowadziła „dokładne dochodzenie i nie ma dowodów na to, że niedawno sprzedane dane zostały uzyskane poprzez wykorzystanie luki w zabezpieczeniach systemów Twittera”.

Co się stało?

Już w sierpniu 2022 roku poinformowano, że w styczniu tego samego roku zgłoszono lukę bezpieczeństwa w systemach Twittera w ramach programu bug bounty. Zespół zapewnił, że naprawił błąd możliwie szybko. Jednak jak się potem okazało, ktoś wykorzystał istniejącą wtedy lukę i oferował sprzedaż danych. Zespół Twittera potwierdził ten fakt i poinformował użytkowników, których bezpośrednio dotyczyło zagrożenie w związku z działaniem hakera.

Natomiast w listopadzie 2022 roku poinformowano, że dane te rzekomo mogły wyciec do sieci. Ujawnione informacje były takie same, jak w przypadku zgłoszenia z lipca ub. r.

Kolejno w grudniu media donosiły, że zdaniem jednego z hakerów ma on dostęp do ponad 400 mln danych mailowych i numerów telefonów użytkowników oraz że dane te zostały ujawnione przy pomocy tej samej luki.

Z kolei w styczniu tego roku pisaliśmy o próbie sprzedaży danych ponad 200 mln użytkowników w sieci.

Czy doszło do wycieku danych Twittera?

Zespół ds. reagowania na incydenty bezpieczeństwa w Twitterze miał jednak stwierdzić po swoim dochodzeniu, że dane 5,4 mln użytkowników (z listopada 2022 roku) to te same informacje, co z sierpnia 2022 roku.

Natomiast wspomniane dane 400 mln użytkowników w przypadku drugiego (domniemanego) naruszenia – zdaniem załogi – „nie mogły być związane z wcześniej zgłoszonym incydentem, ani z żadnym nowym incydentem”, podobnie jak w przypadku 200 mln rekordów, dotyczących użytkowników.

„Żaden z analizowanych zestawów danych nie zawierał haseł ani informacji, które mogłyby prowadzić do naruszenia haseł” – stwierdzono w oficjalnym komunikacie.

Jak podkreślono, „nie ma dowodów na to, że dane sprzedawane online zostały uzyskane poprzez wykorzystanie luki w zabezpieczeniach systemów Twittera. Dane są prawdopodobnie zbiorem już publicznie dostępnym online za pośrednictwem różnych źródeł”.

W komunikacie poinformowano też, że zespół jest w kontakcie z organami ochrony danych i innymi odpowiednimi organami z różnych krajów, by udzielić wyjaśnień na temat domniemanych incydentów.

Jednocześnie przypomniano, że „chociaż żadne hasła nie zostały ujawnione”, warto włączyć uwierzytelnienie dwuskładnikowe za pomocą aplikacji lub klucza bezpieczeństwa, by chronić swoje konto przed dostępem do niego osób trzecich.

Dodatkowo ostrzeżenie dotyczy zachowania czujności w korzystaniu z poczty elektronicznej, by nie dać się nabrać na możliwe wiadomości phishingowe.

Warto przypomnieć, że 23 grudnia irlandzka Komisja Ochrony Danych (DPC), czyli niezależny organ nadzorujący ochronę danych osób w UE, wszczęła postępowanie dotyczące Twittera.

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].