Hacker lekt telefoonnummers en e-mailadressen van 5,4 miljoen Twitter-accounts

Een onbekende hacker of hackersgroep heeft een database online gezet met daarin de e-mailadressen en telefoonnummers die bij 5,4 miljoen Twitter-accounts horen. De aanvaller kon de data achterhalen via een bug die inmiddels is gerepareerd.

De database wordt op Breach Forums aangeboden en werd ontdekt door Restore Privacy. De aanvaller wil 'minstens 30.000 dollar' voor de database hebben. In de database zitten geen wachtwoorden, maar wel de e-mailadressen of telefoonnummers of beide van in totaal 5.485.636 Twitter-gebruikers. De aanvaller zegt dat het datalek accounts bevat van beroemdheden en bedrijven. Restore Privacy heeft kunnen vaststellen dat het lek authentiek is, maar niet of de claim klopt dat er bekende namen in stonden.

De aanvaller heeft het lek binnengehaald via een kwetsbaarheid die bekend was en inmiddels is gerepareerd. De kwetsbaarheid werd op 1 januari aangeboden op bugbountyplatform HackerOne door een beveiligingsonderzoeker. Het ging om een bug in de Android-client, waarbij een aanvaller een POST-request moest doen naar de onboarding-api van Twitter. De beveiligingsonderzoeker beschrijft het probleem in detail op HackerOne. Twitter heeft de kwetsbaarheid opgepakt en op 13 januari gerepareerd. Op 11 februari werden details gepubliceerd en kreeg de onderzoeker een beloning van 5040 dollar. Het is niet bekend hoe de aanvaller die de database nu aanbiedt aan de informatie is gekomen om de hack uit te voeren.

Twitter Breach Forums

Reacties (124)

CAPSLOCK2000

Beveiliging en antivirus
Datalek
Twitter

24 juli 2022 09:59

Wat een berg data weer.
Waarom verzamelt Twitter eigenlijk nog telefoonnummers?
Op mijn PC heb ik geen telefoonnummer en ik kan er gewoon mee op Twitter dus techisch gezien is het niet noodzakelijk.

Ik vermoed dat ze die nummers hebben voor account-verficatie en MFA. Ik vind beide geen goede reden meer. Telefoonnummers zijn makkelijk te vervalsen en SMS is niet veilig. Al is het alleen maar omdat veel mensen hun berichtjes gewoon leesbaar op hun (lock)screen hebben staan. Dat is al niet veilig maar als je primaire device dan ook nog eens die telefoon zelf is dan heeft het weinig zin als beveiliging.

Het hele idee van accountverficatie aan de hand van een telefoonnummer vind ik ook niet heel sterk, als ze dat doen. Twitter kan ook niet weten welk telefoonnummer bij welke acocunt hoort tenzij de gebruiker dat vooraf heeft opgegeven. Als een account wordt gehacked wordt dat telefoonnummer ook wel aangepast. Als de account niet is gehacked, maar de gebruiker is domweg het wachtwoord kwijt, dan werkt het, maar omdat het onveilig is moet je daar eigenlijk niet op vertrouwen.

Met wat moeite kan ik nog wel wat andere redenen bedenken waarom Twitter telefoonnummers verzamelt maar geen echt goede reden.

Dan kom ik bij mijn punt: Twitter zou die telefoonnummers niet moeten hebben, dan hadden ze ook niet kunnen uitlekken. Ik geloof direct dat het niet de bedoeling was om ze te laten lekken, en dat verwijt ik Twitter dus niet, maar de nummers uberhaupt verzamelen vind ik een fout die ik Twitter wel verwijt.

[Reactie gewijzigd door CAPSLOCK2000 op 27 juli 2024 18:38]

!mark @CAPSLOCK2000 • 24 juli 2022 10:14

Het ergste is nog dat je sinds eind vorig jaar min of meer ineens een account nodig hebt om uitsluitend te lezen op Twitter, zelfs daarvoor moet je je tel. nummer afstaan.

Dat je iets van verificatie wil voor mensen die posten kan ik inkomen (of een telefoon nummer daarvoor de juiste is laat ik even in het midden), maar om uitsluitend berichten te kunnen lezen slaat helemaal nergens op. Gelukkig zijn er voor sporadisch doorlezen van Tweets opties als Nitter.net om een verplicht account te omzeilen maar dan nog

MiniBBQ @!mark • 24 juli 2022 12:55

Deze regels aan uBlock Origin toevoegen (Settings --> My Filters) en je kunt blijven scrollen:

twitter.com##div#layers div[data-testid="sheetDialog"]:upward(div[role="group"][tabindex="0"])
twitter.com##html:style(overflow: auto !important;)

[Reactie gewijzigd door MiniBBQ op 27 juli 2024 18:38]

Jerie

@MiniBBQ • 24 juli 2022 23:12

Nice, heb je er ook eentje voor Instagram?

MiniBBQ @Jerie • 24 juli 2022 23:56

Ja hoor;
instagram.com##html:style(overflow: auto !important;)
instagram.com##body:style(overflow: auto !important;)

pinterest hetzelfde maar dan instagram.com vervangen

Z100 @MiniBBQ • 24 juli 2022 16:53

Voor Android gebruikers: aanrader Kiwi browser met uBlock extensie.

Tusk @Z100 • 24 juli 2022 22:40

Firefox mobile ondersteunt dit ook

Z100 @Tusk • 25 juli 2022 21:09

Kiwi is sneller en ondersteund meer extensies zonder omwegen. Ex-Firefox (Nightly) gebruiker.

uuu @!mark • 24 juli 2022 11:24

Tip: vervang in je browser het twitter.com gedeelte met nitter.net, dat is een alternatieve webclient die geen account vereist en algemeen veel prettiger werkt.

Sando @uuu • 25 juli 2022 02:35

Ssst zeg dat nou niet, we krijgen steeds vaker dat ie over de datalimiet is en dan moeten we weer een andere instance gaan zoeken.

Carlos0_0 @!mark • 24 juli 2022 10:32

Ja dat viel mij ook al op ik gebruik twitter zo goed als nooit, maar soms kom je wel eens een linkje ergens tegen.
En dan open je het dan kan je het niet eens lezen, en het is nou niet dat het premium content is ofzo waar betaald voor moet worden.

nightgold @!mark • 24 juli 2022 14:01

Als je op inloggen klikt en dan de dialog terug sluit kan je een hele tijd verder scrollen

mraix @!mark • 24 juli 2022 23:50

gewoon een geldig tlfnr opgeven.
checken doen ze niet.

Anoniem: 710428 @!mark • 25 juli 2022 10:42

Is ook om de bots tegen te gaan. zie ook elon musk verhaal

Anoniem: 1576590 @CAPSLOCK2000 • 24 juli 2022 10:43

Dan kom ik bij mijn punt: Twitter zou die telefoonnummers niet moeten hebben, dan hadden ze ook niet kunnen uitlekken. Ik geloof direct dat het niet de bedoeling was om ze te laten lekken, en dat verwijt ik Twitter dus niet, maar de nummers uberhaupt verzamelen vind ik een fout die ik Twitter wel verwijt.

Klopt.

Zoals @The Third Man aangeeft, ondersteunt Twitter (waar mogelijk, nog niet alle landen vermoed ik) niet meer het versturen van tweets via SMS nadat op het account van oprichter Jack Dorsey fake tweets waren geplaats na een "SIM-swap".

Ook zou voor tweestapsverificatie geen telefoonnummer meer nodig zijn, en bovendien (uit mijn laatste verwijzing):

heeft Twitter al eens toegegeven dat de nummers gebruikt werden voor advertentiedoeleinden.

Niet dat reguliere MFA nog als heel zinvol moet worden beschouwd. Eerder schreef Microsoft:

MFA can block over 99.9 percent of account compromise attacks

Dat was dus bullshit (phishingaanvallen waar ik al lang voor waarschuw, keywords: Modlishka, Muraena, Evilgenx2 en CredSniper), net zoals de onzin destijds dat SPF (en later DKIM en nog later DMARC) spam en phishing zouden voorkomen.

We bedenken te vaak oplossingen voor actuele aanvalstechnieken (en zetten die met veel poeha in de markt) zonder na te denken over hoe aanvallers zich kunnen (en dus zullen) aanpassen.

De binnenkort beschikbare PassKeys lijken een stuk verstandiger (en veel praktischer dan "hardware keys" zoals Titan en Yubikey), maar kennen ook risico's.

Edits 10:48: tekstuele correcties

[Reactie gewijzigd door Anoniem: 1576590 op 27 juli 2024 18:38]

Zebby @Anoniem: 1576590 • 24 juli 2022 14:50

Je doet wel heel erg alsof al die mechanieken helemaal niks doen, of niet zinvol zijn. Als jij als bedrijf geen MFA toepast, en ook geen SPF/DKIM(/DMARC), dan loop je toch aanzienlijk meer risico op veel vlakken, vooral geautomatiseerde en grootschalig misbruik. Dat je niet de persoonlijke aanvallen, of spoofers kunt tegengaan daarmee zegt niet dat ze gelijk geen waarde meer hebben.

Anoniem: 1576590 @Zebby • 24 juli 2022 16:11

Zebby schreef:

Je doet wel heel erg alsof al die mechanieken helemaal niks doen, of niet zinvol zijn.

Dat doe ik niet. Ik schreef:

Niet dat reguliere MFA nog als heel zinvol moet worden beschouwd.

en ik schreef:

net zoals de onzin destijds dat SPF (en later DKIM en nog later DMARC) spam en phishing zouden voorkomen.

Ruim 17 jaar geleden waarschuwde ik al dat SPF geen spam zou bestrijden (SPF was ontworpen om back-scatter te voorkómen en deed dat prima, maar nitwit marketeers blèrden dat het de oplossing was van het spamprobleem).
Aanvankelijk hielpen ze well wat, maar doordat aanvallers snel hun tactieken erop aanpasten, veel te weinig.

Als ze de gewekte verwachtingen niet (meer) waarmaken, zijn ze simpelweg niet goed genoeg. M.a.w. het zijn overgewaardeerde "oplossingen" waarop, te vaak en door teveel mensen, onterecht wordt vertrouwd.

Het misplaatste vertrouwen gaat in de praktijk zelfs zóver dat er malloten zijn die zeggen dat het niet erg is als bij MFA 1 factor onbetrouwbaar is (zwak hergebruikt wachtwoord en/of op allerlei manieren te onderscheppen SMS berichten).

Vergelijkbaar: DMARC is tevreden als ofwel SPF ofwel DKIM faalt.

Zebby schreef ook:

Als jij als bedrijf geen MFA toepast, en ook geen SPF/DKIM(/DMARC), dan loop je toch aanzienlijk meer risico op veel vlakken, ...

We zouden een discussie kunnen beginnen over wat "aanzienlijk" is (d.w.z. hoeveel procent minder geslaagde aanvallen zijn er dan er zouden zijn zonder die maatregelen).

Probleem voor mij als ICT securityman: ik moet maar zien hoe ik de niet verhinderde aanvallen kan blokkeren. Want de opdrachtgever zegt na een incident: "Hoe kan dit nou? We hebben toch een firewall, virusscanners, MFA, SPF, DKIM en DMARC"?

Ik ben er klaar mee om elke keer uit te leggen dat dit allemaal half werkende maatregelen zijn. Net als "hoe kan dat nou, de voordeur zat met 3 sloten op slot" roepen nadat insluipers door je openstaande slaapkamerraam (want warm) naar binnen zijn geklauterd.

Zebby vervolgde met:

... vooral geautomatiseerde en grootschalig misbruik.

De tools die ik noemde (Muraena etc.) zijn bedoeld voor geautomatiseerde aanvallen en worden in toenemende mate ingezet (wat Microsoft nu ook zelf toegeeft, ik vermoed een inleiding voor het promoten van passkeys).

In elk geval zijn MFA en SPF etc. totaal zinloos als de ontvanger niet weet dat een domeinnaam (website of e-mail afzender) niet van de kennelijke organisatie is. Sterker, in de Apple mail app op mijn iPhone zie ik de afzenderdomeinnaam niet eens in ontvangen mails.

100% veilig bestaat niet, maar als we ICT-security eindelijk serieus willen nemen, moeten we per direct ophouden met veel te eenvoudig te omzeilen maatregelen bedenken.

Zebby @Anoniem: 1576590 • 24 juli 2022 20:30

Je kan wel letterlijk proberen mijn post ontleden, maar je ontwijkt de kern van mijn bericht - beter imperfecte veiligheid voor de massa dan perfecte veiligheid met veel complexiteit wat niemand gebruikt. In de wereld waarin we leven is het niet realistisch om te verwachten dat iedere gebruiker overal gebruik maakt van een uniek email adres per account, met 256 karakter random wachtwoord en yubikeys meedraagt.

Ik werk ook in de IT security, maar ik vermoed dat jij je meer bezig houdt met de praktijk, terwijl ik moet proberen balans aan te brengen dat het ook echt wordt gebruikt en toegepast. De frustratie in je post is aanwezig, en ook terecht, maar gelijk hebben is helaas niet de weg naar verbetering. Ik ben overtuigd dat zelfs als we de perfecte oplossing bedenken die alle security problemen zou oplossen, het nog steeds niet toegepast worden als het de gebruikerservaring ook maar op enige manier belast. En al helemaal niet als het duur is. En daar ligt de echte uitdaging, of je het nou leuk vindt of niet - een balans van kosten, beperkte impact in een gebruikerservaring en voldoende beveiliging.

En laat marketing maar lekker zeggen wat ze willen, als mensen het dan gaan gebruiken... Zelfs het hele "een slotje is veilig" verhaal is daar een mooi voorbeeld van. Het bericht was in de basis juist (slotje = certificaat = enige vorm van beveiliging in de connectie), maar sloeg volstrekt mis op het feit dat ook een nep-url een slotje kan hebben. Het positieve is dat TLS en slotjes nu een normaal goed zijn en bij iedereen nu een belletje gaat rinkelen als die er niet staat, het nadeel is de uitdaging van het herkennen van de nepsites.

Anoniem: 1576590 @Zebby • 24 juli 2022 23:02

Je kan wel letterlijk proberen mijn post ontleden, maar je ontwijkt de kern van mijn bericht - beter imperfecte veiligheid voor de massa dan perfecte veiligheid met veel complexiteit wat niemand gebruikt.

Je leest nogmaals niet goed wat ik schreef; er bestaat geen perfecte veiligheid.

Wat ik bedoel is dat de bekende veiligheidsmaatregelen worden overgewaardeerd terwijl ze te eenvoudig te omzeilen zijn, wat in steeds meer gevallen gebeurt.

Eén van die risico's is dat organisaties achter servers de betrouwbaarheid van hun authenticatieproces (in teonemende mate) overschatten, waarbij het risico van identiteitsfraude bij de slachtoffers komt te liggen:

Omdat u met MFA correct hebt ingelogd, sluiten wij identiteitsfraude uit. We vermoeden dat u probeert te frauderen en hebben aangifte tegen u gedaan bij de Politie.

Succes ermee als er dan echt identiteitsfraude heeft plaatsgevonden.

In een andere bijdrage in deze draad schrijf ik dat ik een eerder voorstel (van mijzelf) om SMS als authenticatiefactor veiliger te maken niet zinvol meer vind, precies omdat het niet helpt als mensen hun user-ID, wachtwoord en via SMS ontvangen cijfercode (al dan niet door de gebruiker verhaspeld) op een MitM-site invoeren.

Daarnaast hebben beveiligingsmaatregelen ook altijd nadelen die je in je afweging voor inzet moet meenemen. Denk aan lege telefoonaccu, smartphone defect en geen back-up van TOTP secrets, verloren Yubikey en geen "back-up" daarvan.

En voor veel laag opgeleiden en/of ouderen is MFA sowieso ingewikkeld, en nog meer gegevens moeten invullen om in te kunnen loggen leidt vooral af van waar de gebruiker zeker op moet letten: zit ik op de juiste site?

Helaas wordt MFA enorm gehyped. In het in mei gezamelijk door security diensten (waaronder ncsc.nl) uitgebrachte beveiligingsadvies staat MFA bovenaan. Als je goed leest kun je vinden:

Require phishing-resistant MFA (such as security keys or PIV cards) for critical services.

Met andere woorden: reguliere MFA (SMS, Voice, TOTP, RSA keyfobs) zijn niet phishing-resistant - terwijl "security keys or PIV cards" ondingen zijn voor de massa.

Passkeys beloven verbetering, maar één van de risico's is dat steeds meer van jouw bewijs van identiteit op elk van jouw devices wordt geconcentreerd, wat ze prime targets zal maken.

Misschien kijk ik er overheen, maar in genoemd advies (en de meeste andere adviezen) mis ik dat reguliere MFA zinloos is als gebruikers niet weten dat ze moeten controleren op welke server zij hun gegevens invoeren, en hoe zij dat kunnen (en moeten) controleren.

Met alleen techniek (zoals beschreven in dit advies) gaan we het niet redden; door MFA te implementeren ben je er niet (nog even los van de meestal aanwezige 1FA authentication-reset mogelijkheid en soms "steelbare" 1FA session-cookies of vergelijkbaar na inloggen).

Als het aantal phishing-aanvallen gericht op MFA toeneemt, kunnen jij en ik erover van mening verschillen wanneer precies het moment aanbreekt dat MFA meer nadelen dan voordelen heeft, maar vroeger of later ga jij ook om.

Ik ga echter geen dag langer een ooit (kortstondig) bewezen techniek aanhangen (ook niet als ik er zelf ooit voor gepleit heb, ik heb niet de illusie alles te kunnen voorzien en moet vaak van mening veranderen) die ondertussen schijnveiligheid oplevert - ook al helpt het in sommige gevallen nog wel. Als een opdrachtgever desondanks een halve fix wil, kan dat - maar dan komt daar een loeigrote disclaimer bij (zowel schriftelijk als mondeling).

Zebby schreef ook:

Ik werk ook in de IT security, maar ik vermoed dat jij je meer bezig houdt met de praktijk, terwijl ik moet proberen balans aan te brengen dat het ook echt wordt gebruikt en toegepast.

Ik benader IB zowel vanuit de "theoretische" kant (o.a. ISO 27000 reeks) en vanuit de praktijk, d.w.z. ik probeer een brug te slaan tussen die twee (vaak zeer gescheiden) werelden.

Natuurlijk moet je kiezen uit de middelen die je hebt, maar als die gebrekkig blijken te zijn, wacht ik geen seconde om dat duidelijk te maken, zowel aan opdrachtgevers als aan "de wereld" (o.a. hier op Tweakers).

Als niemand moppert denken de meeste mensen dat we het prima voor elkaar hebben zo (vooral als zij niet dagelijks het securitynieuws volgen op sites zoals Bleeping Computer en security.nl).

Cybercriminelen innoveren ook voortdurend; we kunnen het ons niet permitteren om te denken dat wij klaar zijn. Er gaat te veel fout terwijl het beter kan.

stijnosb @Anoniem: 1576590 • 25 juli 2022 23:23

Ben je nou echt opzettelijk bezig met je uiterste best doen om zijn punt niet te begrijpen?
Het punt van Zebby is heel simpel. Een voorbeeld: je mag kiezen voor jouw bedrijf, alleen een wachtwoord met vereisten qua complexiteit, OF een wachtwoord met vereisten qua complexiteit EN MFA.

En niet gaan zeuren dat allebei niet wenselijk is, je mag ALLEEN kiezen tussen DEZE TWEE opties, en NIETS anders. Wat kies je?

Precies Zebby z'n punt. Beter een deur die drie sloten heeft en een open raam, dan een open deur en een open raam. Want een open deur maakt het een heel stuk makkelijker.

Edit: typo + zin gewijzigd.

[Reactie gewijzigd door stijnosb op 27 juli 2024 18:38]

Zebby @stijnosb • 26 juli 2022 10:47

Verschil van iemand die denkt in de theorie, en iemand die toepast in de praktijk.
Beide zijn nodig, geen van beide heeft het juiste antwoord voor iedere situatie. Wij bieden onze klanten altijd mogelijkheden voor MFA oplossingen. Ze hebben wel degelijk een keuze. En dan niet exclusief via TOTP helaas. En beide doen het omdat het moet voor de DigiD aansluiting.

Ik kan de hemel aanbieden, maar zodra het de gebruikerservaring ook maar op enige manier in de weg zit, dan wilt niemand het meer hebben. En dan heb ik liever dat ze iets gebruiken, dan niets.
Als we betere IT security willen gaan toepassen in de wereld moeten we serieus gaan kijken naar het aspect gebruikersgemak als onderdeel van de oplossing. Dit wordt wel beter met een aantal zaken waar aan wordt gewerkt gelukkig. Ik zie het niet zo zwartgallig in ieder geval. Over het algemeen blijft de mens de zwakste schakel, en niet de complexiteit van je oplossing.

Anoniem: 1576590 @stijnosb • 26 juli 2022 01:01

stijnosb schreef:

Ben je nou echt opzettelijk bezig met je uiterste best doen om zijn punt niet te begrijpen?

Welnee, ik begrijp @Zebby's punt best, hij (of zij) volgt de gangbare adviezen.

Misschien dat het volgende mijn punt verduidelijkt.

Omstreeks 2010 (jaren later veranderde de toen geldende "best current practice") was ik bij een klant, die bang was dat ik zou adviseren de wachtwoordeisen nog strenger te maken.

Toen ik zei dat wat mij betreft de "best current practice" eis om elke 3 maanden het wachtwoord te wijzigen er per direct af mocht, was hij dolblij; zijn mensen werden gek van die regel. Wel adviseerde ik dat hij aan zijn mensen zou uitleggen waarom ze een fatsoenlijk en unieke wachtwoorden moesten kiezen en hoe dat moet (en wel wijzigen na incidenten).

De praktijk is namelijk dat, als je regelmatig je wachtwoord moet wijzigen, mensen hun wachtwoorden dan nog moeilijker kunnen onthouden en o.a. meer mensen ze op post-its schrijven. En erger, de helpdesk veel vaker gebeld wordt en vergeten wachtwoorden zal resetten naar "Welkom01!", maar geen idee heeft wie er eigenlijk belt (ik heb dit letterlijk meegemaakt bij een klant met een telefonische helpdesk aan de andere kant van Nederland).

Een klein deel doet wat ik doe als ik hiertoe gedwongen word (en geen wachtwoordmanager kan gebruiken): ik gebruik voor dat account steeds hetzelfde (wel unieke) wachtwoord met een "enumerator" '0'..'9' erachter, evt. 'a'.. als ze nog meer (hopelijk, dus niet in de praktijk, onkraakbare hashes van) voormalige wachtwoorden van mij bewaren.

Dat is dus schijnveiligheid.

Ik claim heus niet alle wijsheid in pacht te hebben, maar als ik overtuigende argumenten heb dat een maatregel meer nadelen biedt dan voordelen, blijf ik niet braaf met de kudde meelopen. Sommigen noemen mij recalcitrant; ik vind dat ik gewoon mijn werk naar behoren doe.

stijnosb schreef:

Het punt van Zebby is heel simpel. Een voorbeeld: je mag kiezen voor jouw bedrijf, alleen een wachtwoord met vereisten qua complexiteit, OF een wachtwoord met vereisten qua complexiteit EN MFA.

1) Die tweede keuze is niet de praktijk: dat is tevens MFA omdat veel mensen zwakke wachtwoorden kiezen en overal hergebruiken.

2) Ik laat mij niet in een stom keurslijf 'best current practice" dwingen, dat aantoonbaar schijnveiligheid oplevert juist omdat veel mensen roepen dat het een ander probleem oplost (symptoombestrijding dus). Met potentieel helpdesks aan de andere kant van Nederland die niet weten wie belt maar wel het account opengooien voor die beller die liegt dat ie z'n smartphone thuis heeft laten liggen.

Zoek maar een ander (i.p.v. mij) als je net zo (on)veilig wilt zijn als "de buurman".

stijnosb schreef:

Precies Zebby z'n punt. Beter een deur die drie sloten heeft en een open raam, dan een open deur en een open raam. Want een open deur maakt het een heel stuk makkelijker.

Met zo'n instelling word je gehacked. Wees creatief en lever maatwerk.

Hier bijvoorbeeld: tralies voor het raam, camera's, PIRs, (onzichtbare) lichtstralen die onderbroken worden door insluipers met een 120dB alarm, een flink hek of een slotgracht met krokodillen om het pand, permanent een bewaker naast het open raam, enzovoorts.

Als je (zichtbaar) veiliger bent dan de buurman is de kans groter dat ze jou voorbij gaan. Er zijn bijna altijd meer dan twee opties.

mraix @Anoniem: 1576590 • 24 juli 2022 23:52

lang verhaal.

samenvatting :

mensen kun je niet patchen.

Anoniem: 1576590 @mraix • 25 juli 2022 00:08

mensen kun je niet patchen.

Naar verluidt kan dat dus wel.

Dat neemt niet weg dat je hen wel zoveel mogelijk middelen moet geven om echt van nep betrouwbaar te kunnen onderscheiden.

Niemand_Anders @mraix • 25 juli 2022 10:07

Mensen kun je wel degelijk patchen, alleen hebben we daar een andere naam voor: heropvoeding.

The Third Man @CAPSLOCK2000 • 24 juli 2022 10:09

Twitter was origineel ook SMS driven, zodat bijvoorbeeld een journalist iets kan melden zonder internetverbinding te hebben. Vandaar de 160 karakters limiet.

CAPSLOCK2000

Beveiliging en antivirus
Datalek
Twitter

@The Third Man • 24 juli 2022 10:13

Twitter was origineel ook SMS driven, zodat bijvoorbeeld een journalist iets kan melden zonder internetverbinding te hebben. Vandaar de 160 karakters limiet.

Ja, maar laten we niet doen alsof dat nu nog een argument is. Het idee dat een tweet in een SMS moet passen is al lang opgegeven, tegenwoordig staan er hele foto's en video's op Twitter die never nooit in 160 bytes hadden gepast.

THETCR @CAPSLOCK2000 • 24 juli 2022 11:20

UTF-8 karakters zijn 1 tot 4 bytes. Dus 160 karakters staan niet gelijk aan 160 bytes.

Skix_Aces @THETCR • 24 juli 2022 12:12

De byte limiet is daadwerkelijk 140 bytes. Aangezien ASCII 7 bits breed is kom je uit op 160 karakters. Op het moment dat je een andere standaard gebruikt om berichten te sturen zal de karakter limiet omlaag gaan, aangezien het bericht nogsteeds binnen die 140 bytes moet passen.

THETCR @Skix_Aces • 24 juli 2022 13:07

Precies, dus bij UTF-8 (16-bit in plaats van 7) kom je op 70 karakters uit.

Dus wanneer er wordt gesteld dat Twitter een limiet heeft van 160 karakters in een bericht kan je dat niet één op één vertalen naar dat SMS een limiet zou hebben van 160 bytes.

akooijman @THETCR • 24 juli 2022 13:40

Bij utf kun je toch nog steeds 8 bit karakters gebruiken voor de standaard ASCII set?
Als ik me goed herinner zorgt dat er voor dat niet alle ASCII berichten ineens verdubbelen in grootte.

THETCR @akooijman • 24 juli 2022 15:13

Hangt van het karakter af. Vandaar ook 1 tot 4 bytes.

The Third Man @CAPSLOCK2000 • 24 juli 2022 10:22

Iets is een argument of niet, het is geen kwestie van ‘doen alsof’. Er zit nog steeds een karakterlimiet in, foto’s en video’s worden via shortening service URL’s geplaatst (het is slechts dat de webapp dat rendert naar een zichtbaar resultaat). En je kan nog steeds SMS driven werken, iets dat in minder prettige delen van de wereld nog steeds een use case kan zijn.

Ik begrijp je punt wel dat het óók een enorme groep nummers bevat waar de gebruiker technisch geen behoefte aan heeft, maar dat moet je gericht aanpakken ipv kinderen met badwaters weggooien.

N1ckk @CAPSLOCK2000 • 24 juli 2022 10:34

Een telefoonnummer is ook een unieke ID waarmee je contacten kan vinden op Twitter die ook in je telefoon staan. Dat doen TikTok en Instagram bijv. ook zover ik weet.

litebyte

Twitter

@N1ckk • 24 juli 2022 13:39

Exact, en waarmee je in de meeste gevallen de tweets kan koppelen wie wat plaatst en wat leest.

Saven @The Third Man • 24 juli 2022 10:30

Dat is helemaal niet de reden, je wordt nu bijna geforceerd om een telefoonnummer in te voeren als je een account wil aanmaken. Gewoon datahonger en poging tot verificatie van een echt persoon.

Frame164 @Saven • 24 juli 2022 11:09

Met dat laatste hoeft natuurlijk niets mis te zijn.

litebyte

Twitter

@Frame164 • 24 juli 2022 13:43

Ja, daar is heel veel mis mee. Ik ken zat collega's uit bepaalde landen die liever niet hun tel. moeten koppelen o mdat dit grote risico's met zich mee brengt. Niet alleen voor hun zelf overigens maar ook voor al hun volgers.

akooijman @Saven • 24 juli 2022 13:41

Die verificatie moet van de aandeelhouders, anders wint Musk zijn spelletje.

DoubleYouPee @The Third Man • 24 juli 2022 10:36

Waarom zou Twitter daarom een 160 karakter limiet hebben? Als de limiet 300 was kan je nog steeds een SMS sturen met max 160 karakters.

SpoekGTi @The Third Man • 24 juli 2022 10:43

140 char limit in den beginne.

SMS was 160 tekens

.oisyn Moderator Devschuur® @SpoekGTi • 24 juli 2022 10:55

SMS is 140 bytes, en met een 7-bit tekenset kon je daar 160 tekens in kwijt. Maar dan ben je wel gelimiteerd tot louter het Latijnse en Griekse alfabet en wat symbolen.

Was je Aziatisch dan zat je gebonden aan UCS-2 (later UTF-16) en kon je ineens nog maar 70 tekens kwijt.

[Reactie gewijzigd door .oisyn op 27 juli 2024 18:38]

SpoekGTi @.oisyn • 24 juli 2022 10:58

Klopt, maar hij meldt dat Twitter default 160 tekens deed net zoals SMS en dat was niet het geval.

Naafkap @CAPSLOCK2000 • 24 juli 2022 10:31

Hoewel je valide punten aanhaalt is het veiligheidsissue van sms (in Nederland) zeker niet zo groot als je hier stelt.

In Nederland is het nagenoeg onmogelijk om iemands telefoonnummer te kapen, zonder dat je dit als gebruiker doorhebt. Daarmee is tweestapsverificatie via sms nog steeds veel en veel veiliger dan geen tweestapsverificatie en volstaat dat voor de meeste gebruikers in Nederland.

Andros @Naafkap • 24 juli 2022 11:49

Leuk voor Nederland maar twitter is actief in veel meer landen waar dit wel een probleem kan zijn.

Nark0tiX @Naafkap • 26 juli 2022 01:00

Als je er vanuit gaat dat je telecom bedrijven kan vertrouwen. De overheid kan telecom providers dwingen om de inhoud van jouw 2FA smsjes af te geven...en hup daar ga je.

Beter gewoon een authenticator gebruiken.

Zo zijn er overigens nog meer punten waarom 2FA via sms badpractice is.

[Reactie gewijzigd door Nark0tiX op 27 juli 2024 18:38]

laptopleon @CAPSLOCK2000 • 24 juli 2022 11:23

Ik vermoed dat ze die nummers hebben voor account-verficatie en MFA. Ik vind beide geen goede reden meer. Telefoonnummers zijn makkelijk te vervalsen en SMS is niet veilig.

Dit is een beetje als tegen wegtransport zijn omdat er verkeersslachtoffers vallen, maar er niet bij vertellen hoe mensen dan wel op hun werk / de supermarkt dan wel bevoorraad moet worden.

Het is (te) makkelijk om MFA met telefoonnummers af te keuren, zonder met een beter alternatief te komen.

Als je hier een definitieve oplossing voor verzint, kun je rijk worden. Internet heeft behoefte aan een waterdichte manier van authentificatie. Die gaat er ook wel een keer komen, als de druk maar hoog genoeg wordt.

Telefoonnummers zijn nog steeds lastig massaal te misbruiken. Dat is handig voor MFA want alleen dat SMSje is dus niet genoeg (je weet wel, MULTI factor) en bovendien voor adverteerders makkelijker aannemelijk te maken dat je unieke bezoekers hebt.

Anoniem: 1576590 @laptopleon • 24 juli 2022 11:57

laptopleon schreef onder meer:

Het is (te) makkelijk om MFA met telefoonnummers af te keuren, zonder met een beter alternatief te komen.

PassKeys komen eraan (niet risicoloos, maar het lijkt een prima alternatief voor wachtwoorden en een eventuele 2e factor).

Nark0tiX @laptopleon • 26 juli 2022 01:04

Er zijn genoeg alternatieven. Een authenticator zoals die van Google? Authy? Of andere implementatie.

laptopleon @Nark0tiX • 26 juli 2022 14:39

cc @Anoniem: 1576590

Nu komt 2fa / mfa meestal neer op: Iets wat je weet + iets wat je hebt. Dus wachtwoord + hardware imei of mac-adres.

(Iets wat je bent zoals vingerafdruk of gezichtscan is in de praktijk altijd te omzeilen met het wachtwoord van het apparaat.)

Maar dit is door iedereen die jouw apparaat vasthoudt en het wachtwoord weet te doen. Bovendien is er meestal geen enkele check of iemand daadwerkelijk is wie hij is. Dat is eigenlijk niet wat je wil. Het echte doel is het vaststellen of je echt met Jan de Wit uit Delft te maken hebt of niet.

Als identificatie echt waterdicht zou zijn, zou je allerlei rottigheid zoals spam effectief aan kunnen pakken, want iemand die zich niet aan de regels houdt, kun je dan aanpakken, bijvoorbeeld een spanner door al zijn mail te blokkeren. Een oplichter is nooit meer anoniem dus te vervolgen, blokkeren bij de bank etc.

Nark0tiX @laptopleon • 28 juli 2022 10:39

Daarom heet het ook 2FA / MFA. lijkt me duidelijk toch.

laptopleon @Nark0tiX • 28 juli 2022 11:13

Maar het is in feite geen authentificatie.

Het zijn allemaal weer variaties op het klassieke wachtwoord. Maar de veiligheid van een wachtwoord leunt 100% op het ‘speld in een hooiberg’ idee.

Dat werkt best goed zolang je het geheim kan houden, maar bewijst niet echt dat je Jan de Wit of Karel Appel bent, alleen dat je hun wachtwoord en telefoon hebt.

Nark0tiX @laptopleon • 28 juli 2022 19:08

Authenticatie betekent niet meer dan identiteit vast stellen aan... En dit geval dus obv een wachtwoord en een tweede stap.

Dit zal ook obv vingerafdruk of gezichtsherkenning kunnen.

Een paspoort zegt ook niet veel, grote namen uit de 'mocromaffia' hadden ook echte paspoorten op een andere naam... Dankzij omkoping.

Bewijst ook alleen maar dat je een paspoort hebt van een persoon. En dat jij lijkt op de persoon op de foto.

Snap de discussie niet echt. Gaat toch om veiligheid. Als jij overal een veilig wachtwoord hebt die je nergens anders gebruikt + 2FA via een private key is dit gewoon veilig. Het foute gebruik is onveilig

[Reactie gewijzigd door Nark0tiX op 27 juli 2024 18:38]

laptopleon @Nark0tiX • 28 juli 2022 20:49

Ik geef toe dat het eigenlijk een zijspoor is, maar anderzijds leiden alle beveiliging / gebruikersrechten / authentificatie / identificatie wegen naar Rome, als je begrijpt wat ik bedoel, waarbij Rome gelijk staat aan… zeker weten of je met de juiste persoon te maken hebt. Het wachtwoord is nu ons beste middel, maar niet het echte doel.

PLAE @CAPSLOCK2000 • 24 juli 2022 10:02

Sommigen hebben op hun telefoonnummer een twitteraccount. (weet niet of ik dit helemaal duidelijk verwoord).

Daoka @CAPSLOCK2000 • 24 juli 2022 10:47

Op mijn PC heb ik geen telefoonnummer en ik kan er gewoon mee op Twitter dus techisch gezien is het niet noodzakelijk.

Beetje rare redenering. Je hebt toch ook geen naam, woonplaats en opleidinge op je pc dus zou dit hoeft Tweakers dit ook niet te verzamelen. Toch heb je het hier ingevuld en zelf publiek staan. Telefoonnummer kan je tenminste nog zeggen dat het gebruikt kan worden voor wachtwoord reset (zoals je zelf al zegt, ondanks dat sms niet geheel veilig is) of ter controle dat als je belt naar een bedrijf dat ze kunnen zien dat die nummer tenminste gekoppeld is aan je account. Maar van opleiding kan ik dit niet zeggen. Dus waarom is Twitter dan slecht bezig maar Tweakers niet?

En ja ik snap dat telefoonnummers makkelijker te misbruiken/verkopen is dan een opleiding informatie. Maar je punt was dat het niet nodig was en Tweakers heeft opleiding ook niet nodig. En ondanks dat je op Tweakers dingen kan verkopen is woonplaats ook onnodig. Wanneer je iets (ver)koopt kan je dit ook doorsturen via een persoonlijke bericht. Dat dit wat omhandig is doet er dan niet toe. Toch wordt woonplaats geaccepteerd omdat het dus makkelijker wordt. En dat is ook met de Twitter telefoonnummer. Ze kunnen inderdaad met een authenticator app gaan werken maar genoeg mensen hebben dit niet en vinden telefoonnummer / sms (ondanks dat het onveilig is) dus gewoon makkelijker. Dus onnodige verzamelde informatie ligt maar aan wie je het vraagt.

tom.cx @CAPSLOCK2000 • 24 juli 2022 10:52

Nou je kan je account instellen op Twitter wanneer je je wachtwoord vergeet eerst je mailadres én telefoonnummer moet verifiëren. Daarna krijg je pas de mogelijkheid om je wachtwoord te resetten. Er zijn genoeg mensen die deze optie gebruiken.

Olaf van der Spek @CAPSLOCK2000 • 24 juli 2022 11:12

Waarom verzamelt Twitter eigenlijk nog telefoonnummers?

Waarom kun je eigenlijk nog geen (disposable) alias nummer aanvragen dat gekoppeld is aan je gewone sim / nummer?
Zelfde voor email adressen. Zou toch handig zijn als je on the fly / automatisch een nieuwe alias kon maken per site. Op iOS kan het.. maar daarbuiten?

HenkEisDS @Olaf van der Spek • 24 juli 2022 12:49

Dat kan wel, via twilio of zelfs via skype, maar niet via je provider.

gertvdijk @CAPSLOCK2000 • 24 juli 2022 11:29

Ongeveer twee jaar geleden vond Twitter dat ik opeens verdacht / een bot was en kon mijn account niet meer in zonder 06-nummer toe te voegen en te valideren. Kon hem direct daarna niet meer verwijderen, inmiddels wel gedaan.

detrukurke @gertvdijk • 24 juli 2022 23:48

Toen waren er ook nog gratis prepaid-sims te krijgen, dus dat was toen nog niet zo’n probleem. Tegenwoordig vragen ze er al snel 15eu voor.

Kalief @CAPSLOCK2000 • 24 juli 2022 12:30

Als een account wordt gehacked wordt dat telefoonnummer ook wel aangepast.

Die aanpassing moet je bevestigen. Dat kun je niet als dat niet jouw telefoonnummer is. En als het wel jouw telefoonnummer is ben je als hacker niet meer anoniem.

lighting_ @CAPSLOCK2000 • 24 juli 2022 14:56

Bijna iedereen verplicht je tel nr voor elke zakelijke account ter verificatie. Je ontkomt er niet aan. MS bijvoorbeeld.

[Reactie gewijzigd door lighting_ op 27 juli 2024 18:38]

satya @CAPSLOCK2000 • 24 juli 2022 15:32

Als mensen hun telefoon niet registreren op Twitter zie ik hun reacties op mijn berichten niet.

Die filter ik namelijk weg met nog een paar andere filters. Scheelt 95% van de trollen.

dimitrivisser @CAPSLOCK2000 • 24 juli 2022 17:16

Wat een berg data weer.
Waarom verzamelt Twitter eigenlijk nog telefoonnummers?

Een belangrijke reden om een telefoonnummer te vragen is om het voor spammers moeilijker te maken om massaal accounts aan te maken.
Het is zeker geen perfecte methode maar ze maken het spammers op die manier wel een stuk moeilijker, het kost meer tijd en telefoonnummers kosten geld.

TgR_KILLER @CAPSLOCK2000 • 24 juli 2022 22:51

Wat is volgens jou dan wel een goede manier van MFA etc.? Want dat zal wel de primaire reden zijn van Twitter en enige andere social media dat ze telefoon nummers hebben.

Overigens beetje raar argument dat je MFA via telefoon nummers niet sterk vind omdat mensen berichtjes open op hun lockscreen hebben staan... Dan is er niks mis met MFA op die manier maar met de mensen die gewoon lomp zijn imho. Ik heb geen 1 berichtje 'open' op mijn lockscreen van welke app dan ook.

smartbit @CAPSLOCK2000 • 24 juli 2022 22:54

Met Breakthrough Twitter Login Wall firefox plugin hoef je niet meer aan te loggen.

Kjoe_Ljan @CAPSLOCK2000 • 25 juli 2022 09:20

Twitter heeft telefoonnummers om dezelfde reden dat Google, Facebook, Twitch en tegenwoordig zelfs Discord ze ook willen hebben: Data.

En natuurlijk zijn "geverificeerd account" en "MFA" mooie redenen om die data op te scharrelen.

logix147 @CAPSLOCK2000 • 25 juli 2022 11:38

Eigenlijk zou dit makkelijk op te moeten lossen zijn dat berichten apps 6 cijfers niet zomaar op de lockscreen zet.

Apple weet prima te herkennen wanneer ik een 2FA melding ontvang.

MadJo80 @CAPSLOCK2000 • 26 juli 2022 11:33

Ze gebruiken je telefoonnummer ondermeer om te checken of je geband bent. (Don't ask how I know this

)

HenkEisDS @marcelnooijen • 24 juli 2022 12:56

We snappen hem wel, maar hij is 10 jaar oud en niet eens heel erg grappig.

Het feit dat je hem ook nog eens gaat uitleggen…

Kjoe_Ljan @HenkEisDS • 25 juli 2022 09:21

[Reactie gewijzigd door Kjoe_Ljan op 27 juli 2024 18:38]

cazzie 24 juli 2022 09:50

Social media platforms willen maar al te graag teveel van je weten,
even een foutje en al je persoonlijke data ligt op straat ...

Aiii @cazzie • 24 juli 2022 09:54

Ach noem het maar een probleem van social media. Ziggo moest ook al verplicht een telefoonnummer gisteren toen ik inlogde op mijn moeders account voor “two factor authentication voor uw veiligheid.”

Als het echt voor de veiligheid was hadden ze wel de moeite genomen dat via een reguliere authenticator app te verzorgen, i.p.v. de mindere veilige sms-variant.

Zelf gebruik ik tegenwoordig unieke e-mail adressen per account die forwarden naar mijn echte e-mail en vermijdt ik zo veel mogelijk services waar mobiele nummers verplicht zijn voor 2FA, alsmede het gebruik van nepnamen en adressen waar mogelijk. Blijft toch het meest veilig om er gewoon vanuit te gaan dat niets veilig is.

[Reactie gewijzigd door Aiii op 27 juli 2024 18:38]

SirBlade @Aiii • 24 juli 2022 15:06

SMS als MFA is nog altijd veiliger als geen MFA. En het werkt ook voor die paar mensen zonder smartphone.

Anoniem: 1576590 @SirBlade • 24 juli 2022 17:27

SMS als MFA is nog altijd veiliger als geen MFA.

Nee, niet altijd.

In deze bijdrage schreef ik onder meer:

"sterkere authenticatie" die veel zwakker is dan geadverteerd en daardoor veel zwakker is dan gedacht, leidt dat tot een vals gevoel van veiligheid. Dit leidt niet alleen tot een groter aantal slachtoffers, maar waarschijnlijk ook tot een toename in het aantal slachtoffers dat niet wordt geloofd.

Authenticeren (je identiteit bewijzen) doe je, bij inloggen, in de eerste plaats om te voorkómen dat een kwaadwillende zich kan voordoen als jou.

Als de organisatie achter een server méér vertrouwen heeft in het door haar gekozen authenticatieproces dan dat proces verdient, wordt het in de eerste plaats jouw probleem als iemand anders als jou inlogt en jou daarmee schade toebrengt.

Als gebruikers nemen we door dienstverleners gekozen (brakke) oplossingen veel te snel voor lief.

Nb. ik zal me kwetsbaar opstellen: die in 2020 door mij bedachte fix voor veel risico's bij authenticatie middels een via SMS ontvangen cijfercode is simpelweg niet goed genoeg vanwege de nadelen die ik noem, met name "(L)" (phishing proxy server). Zoals ik elders in deze draad schrijf valt mijn voorstel ook onder "halve maatregelen".

Ik ben van gedachten veranderd omdat PassKeys een veel veiliger alternatief lijken te zijn (hoewel ook PassKeys niet risicoloos zijn).

FitTiv @Aiii • 24 juli 2022 10:05

Tip: oude mobiel met een prepaid kaartje thuis wegleggen. Dan heb je een soort locale authenticator voor je minder belangrijke MFA dingen.

fjjl @FitTiv • 24 juli 2022 10:14

Of als je telefoon het ondersteunt, een e-sim bij een tweede provider; kun je die ook gebruiken in geval van storing van je hoofdprovider🙂

Anoniem: 30722 @FitTiv • 24 juli 2022 11:04

Ben je niet thuis, kun je niet inloggen, ben je wel thuis, is de accu leeg...
2FA hoort gewoon middels een software token met QR, kun je zelf de app kiezen en werkt altijd en overal!

Snake @FitTiv • 24 juli 2022 23:18

Tot dat de provider je 10 sms-en stuurt omdat je de telefoon al een half jaar niet meer hebt gebruikt. En je merkt het niet omdat de telefoon uit staat.

Daar gaat je nummer.

FitTiv @Snake • 25 juli 2022 11:58

In je agenda recurring iedere 5 maanden een afspraakje zetten dat je een smsje stuurt. Overgins ligt die bij mij gewoon standaard aan de lader in de werkkamer.

lenwar

Beveiliging en antivirus

@Aiii • 24 juli 2022 18:42

Als het echt voor de veiligheid was hadden ze wel de moeite genomen dat via een reguliere authenticator app te verzorgen, i.p.v. de mindere veilige sms-variant.

Dat is te kort door de bocht.
Iedere mfa-techniek heeft voors en tegens. Het voordeel van sms is, is dat redelijkerwijs iedereen het heeft en snapt. Het veelgebruikte TOTP is misschien gebruikelijk, maar ik denk niet dat mijn moeder het heeft, snapt en om die reden gebruikt. sms snapt ze en heeft ze wel al de facto (anekdotisch uiteraard)

Een organisatie als Twitter wil zo toegankelijk mogelijk zijn, zodat redelijkerwijs iedereen het begrijpt, zij moeten dat dus in overweging nemen.
Iedereen roept altijd heel makkelijk dat sms onveilig is. Uiteraard klopt dit in de basis, maar het is in de praktijk niet zo’n gapend gat als dat sommigen doen suggereren. Zeker niet als het om ‘bulk-misbruik’ gaat. Je moet echt specifiek getargeted worden voor daadwerkelijk misbruik.

N.B. Als ze 100% voor veiligheid hadden gegaan boven gebruiksvriendelijkheid dan hadden ze niet eens een gebruikersnaam en wachtwoord combinatie als optie geaccepteerd.

Uiteraard is het bijzonder vervelend als je nu door deze hack allerlei spam/phishing/enz-telefoontjes/berichtjes krijgt, maar dat staat los van of sms onveilig is als mfa-techniek.

Sayko @Aiii • 24 juli 2022 18:33

Je zal niet de eerste zijn die via echte mail replied. Begrijp me verkeerd.

Aiii @Sayko • 24 juli 2022 20:32

Mijn replies gaan via de relay net zo goed met de alias, dus maak je geen zorgen.

Snake @Aiii • 24 juli 2022 23:19

OT Wat gebruik je om dat te doen? Via Office365 is het niet gemakkelijk.

Aiii @Snake • 25 juli 2022 07:30

iCloud stuurt alle replies automatisch via een relay vanaf je alias.

Daoka @cazzie • 24 juli 2022 10:05

Dit voelt gewoon als social media bashen. Want

even een foutje en al je persoonlijke data ligt op straat ...

dit geldt voor elke website. Ook bij Tweakers zou er iets kunnen gebeuren. Alleen is Twitter natuurlijk wereldwijd veel bekender, groter en heeft inderdaad meer informatie dan Tweakers. En dat maakt de kans gewoon groter dat hun een doelwit worden voor hackers.

Iblies @Daoka • 24 juli 2022 10:24

Dit voelt gewoon als social media bashen.

Nee hoor. Er is een tijd van komen en er is een tijd van gaan en met name dat laatste laten bedrijven het afweten. Het is alsmaar meer data verzamelen waar ze zelf niet eens het nut van inzien.

Ondertussen heb je allerlei derden bedrijven die gegevens koppelen waar oa een Facebook en Twitter niet eens aan willen beginnen. Een recent voorbeeld is Clearview maar dat is er maar ene van velen.

Daoka @Iblies • 24 juli 2022 10:55

Ik denk dat je mijn punt verkeerd begrepen hebt. Ik ontken niet dat bedrijven te veel informatie kunnen verzamelen. Maar hier werd alleen social media genoemd terwijl andere bedrijven het ook kunnen doen en ook een fout kunnen maken waardoor er data gelekt kan worden. Daarom zie ik dat bericht als social media bashen.

Wolfos @Daoka • 24 juli 2022 11:28

Tweakers vraagt niet om je telefoonnummer. Dat is echt een heel vervelend gegeven om op straat te hebben liggen want je word platgebeld door de oplichters.

Daoka @Wolfos • 24 juli 2022 12:08

Prima verander Tweakers dan maar naar een restaurant of thuisbezorgd.nl, of je verzekeringsmaatschappij, of het bedrijf waar je werkt, of je telecombedrijf, of.... Er zijn genoeg bedrijven die waarschijnlijk ook jouw nummer hebben.

Het punt is gewoon dat het overal fout kan gaan, welke gegevens ze dan ook van je mogen hebben. Dat je bsn, emailadres en telefoonnummer gevaarlijker is als die gelekt worden is niet van belang voor mijn punt. cazzie noemde alleen dus social media terwijl het dus overal fout kan gaan. Zelfs bij jou en mij kan het verkeerd gaan. Installeer een verkeerde app en je kopieeren zo je contactenlijst. Of te wel ik zie die reactie dus als social media bashen

Wolfos @Daoka • 24 juli 2022 12:12

En daarom moet er alleen verzameld worden wat nodig is. Twitter heeft je telefoonnummer niet nodig en zou dat gegeven dus niet moeten opslaan.

Nark0tiX @Daoka • 24 juli 2022 17:40

En daarom heb je dus encryptie.

moonlander @cazzie • 24 juli 2022 10:33

Je moet je dan afvragen wat je dan op zo'n platform doet. Je hele leven staat daar waarschijnlijk publiekelijk met fotos, activiteiten etc... En dan ga je je nu zorgen maken om een telefoon nummer?

Wolfos @moonlander • 24 juli 2022 11:30

De KVK heeft mijn telefoonnummer verkocht. Ik kan je vertellen dat dat geen pretje is. Je word continu gebeld door oplichters.

moonlander @Wolfos • 24 juli 2022 11:58

Ik weet er alles van, wordt plat gebeld. Maar ik heb als regel, onbekend nummer of iemand die niet in mijn contacten staat kan mij wel bellen, maar ik zal niet opnemen. Degene die mij moeten bereiken en niet in mijn contacten staan vinden dan wel een manier hoe ze mij moeten bereiken. Voicemail staat uit, anders spammen ze die vol.

Kimbo72 @cazzie • 24 juli 2022 18:22

Geldt ook voor cloud diensten.

CH4OS

Datalek
Beveiliging en antivirus

24 juli 2022 09:56

Ook wel ironisch dat degene die de data lekt een hacker wordt genoemd, maar degene die de bug vond in Januari opeens 'beveiligingsonderzoeker' is.

Terwijl het in deze op zich nog best eens dezelfde persoon kan zijn, gezien de tijd die tussen ontdekken van de bug en het patchen ervan.

RxTweak @CH4OS • 24 juli 2022 10:26

Dat kan maar als een onderzoeker het lek kan vinden, dan kan een “hacker” dat ook op ongeveer hetzelfde moment.

Yzord @CH4OS • 24 juli 2022 10:37

Misschien was de hacker ook op HackerOne

CH4OS

Datalek
Beveiliging en antivirus

@Yzord • 24 juli 2022 12:17

En potentiële extra inkomsten aan anderen geven voor niets?

Daoka @CH4OS • 24 juli 2022 11:12

Laten we beginnen met onschuldig tot schuld bewezen is. En ja het zou inderdaad dezelfde persoon kunnen zijn. Maar dan was die niet slim bezig. Dan had die beter eerst meer data kunnen downloaden voordat die er een melding van maakt. Het zou bijvoorbeeld ook de persoon kunnen zijn die de melding heeft gezien of medewerkers die aan de patch gewerkt hebben die even snel een extra zakcentje willen hebben.

En het is zo logischer te lezen. Zouden ze hacker neergezet dan lezen veel mensen het als iemand met slechte bedoelingen. Het is dus nog de vraag of hier slechte bedoelingen waren van die beveiligingsonderzoeker.

kodak

Datalek
Beveiliging en antivirus

@CH4OS • 24 juli 2022 11:18

Het is eerder redelijk. Iemand die het heeft aangekaart om te verhelpen zomaar gaan beschuldigen lijkt me niet gepast. Er zijn meerdere mogelijkheden dat het verschillende personen zijn, waarbij de een iets crimineels doet zonder dat de melder dat wist of weet.

Bijvoorbeeld omdat meer personen een zelfde probleem ontdekt hebben zonder dat van elkaar te weten. Of omdat de onderzoeker het lek zelf niet heeft gevonden maar er van hoorde en vond dat het gestopt moest worden. Of omdat de onderzoeker niet voorzichtig genoeg was en bijvoorbeeld over heeft opgeschept naar anderen toen het nog niet opgelost was.

Morress 24 juli 2022 10:31

5040dollar is niet echt een heel ruime beloning imho...?

Sieginator @Morress • 24 juli 2022 11:00

Dat was ook het eerste wat ik dacht. Nu weet ik niet of de hackers 30.000 dollar gaan krijgen. Maar 5040 dollar vindt ik ook wel erg weinig voor een bug die schijnbaar de data van 5.485.636 Twitter gebruikers toegankelijk maakt.

kodak

Datalek
Beveiliging en antivirus

24 juli 2022 10:47

De bron uit het artikel legt helaas nauwelijks uit waarom het de genoemde security bug was. Een andere bron heeft kennelijk een interview gehad met de persoon die de gegevens lekt en geeft er meer details over.

Als dat blijkt dan lijkt me dat twitter ook publiek duidelijk hoort te maken waarom ze dit niet door hadden of waarom ze hun klanten niet gewaarschuwd lijken te hebben.

[Reactie gewijzigd door kodak op 27 juli 2024 18:38]

Jan121 @kodak • 24 juli 2022 11:34

Maar dit is (en kan) toch geen bug in de Android Client zijn? (Never trust the client)

Dit moet een bug in the Twitter API / endpoints zijn. Want gewoon een POST sturen

Staat er ook (The bug exists due to the proccess of authorization used in the Android Client of Twitter)

De bron die je geeft zegt dat ook, en de vergelijking wordt gemaakt met een Facebook Bug waarbij om mensen makkelijk (hun vrienden met Facebook (en de rest van de wereld)) te laten delen ook de beveiliging van de API niet in orde was.

[Reactie gewijzigd door Jan121 op 27 juli 2024 18:38]

kodak

Datalek
Beveiliging en antivirus

@Jan121 • 24 juli 2022 11:43

Dat lijkt me een andere discussie dan waarom het dezelfde bug zou zij . Ik stel daarbij niet dat het een bug in de android client is en je noemt zelf al op dat in de bron staat wat voor bug het was. Als je meent dat het verkeer in het artikel staat kun je dat aan de redactie melden op gathering.

Jan121 @kodak • 24 juli 2022 21:23

Mijn reactie was eigenlijk op het artikel, en niet zozeer op wat je schreef, alleen de andere bron die je noemde haalde ik aan.

Of het een andere discussie is? Vast, maar wel een interessante.

Laat me graag door iemand @TijsZonderH ? uitleggen hoe een bug in een client ertoe kan leiden dat een hacker miljoenen telefoonnummers kan stelen via post-requests naar de api-server.

Dan kan ik namelijk mijn kennis over het verschil tussen clients, apis en servers bijspijkeren.

Die discussie lijkt me juist niet thuis in een aan de redactie.

FrostyPeet 24 juli 2022 12:56

Zo blijkt maar weer, er is er altijd eentje slimmer of heeft door dom toeval een achterdeurtje gevonden.

Precies de reden waarom ik een prepaid 06 nummer heb voor dit soort gevallen. Tientje per jaar om het nummer actief te houden en van een hoop potentieel gedoe af. Mobiel alleen aanzetten als het nodig is om een sms code o.i.d. te ontvangen of om iets te registreren waarbij een 06 nummer verplicht is. Voor de rest zoeken die scammers van "Ministry of justice" en trawanten het maar lekker uit.

Ik heb de ellende meegemaakt dat "alleen" een e-mail adres gehackt werd, nota bene bij een security club die een capture the flag organiseerde. Van de een op de andere dag werd het e-mail adres zo goed als onbruikbaar door scam/spam e-mail. Zo een keer in de paar maanden kijk ik er nog eens na. Ik was verbijsterd, het blijft maar doorgaan.

HenkEisDS 24 juli 2022 13:00

Ik hoop dat ze dit bestand lekken.

Ik ben heel erg nieuwsgierig naar de identiteit van twitter trolls, racisten, wappies, bedreigers, doxxers, etc.

Replic 24 juli 2022 15:38

Goh, binnenkort dus weer scam telefoontjes en mailtjes, lachen joh!

Denk dat het eens tijd wordt om een telefoon nummer en email te gaan gebruiken op alle internet dingen die ik toch niet gebruik en alleen hoef te gebruiken op bepaalde momenten, want hier krijg ik echt wel een pest hekel aan...

dopert3 24 juli 2022 16:29

Als ik Elon moet geloven is de kans groot dat dit alleen maar bots zijn

Nark0tiX 24 juli 2022 17:40

Ongelooflijk, niks encrypted? Hoe kan dit nou weer lol. Is toch geen startup met JavaScript kiddies die ff snel een node backend in elkaar hacken

Op dit item kan niet meer gereageerd worden.

Hacker lekt telefoonnummers en e-mailadressen van 5,4 miljoen Twitter-accounts

Lees meer

Reacties (124)

Sorteer op:

Weergave: