Hackers maakten mogelijk gegevens van tientallen miljoenen Twitter-accounts buit

Hackers hebben gegevens zoals e-mailadressen en telefoonnummers van mogelijk tientallen miljoenen Twitter-gebruikers buitgemaakt. Dat gebeurde via een bug in de api waardoor eerder gegevens van 5,4 miljoen gebruikers zijn uitgelekt.

De dataset bevat gegevens uit diverse landen en Bleeping Computer meldt niet welke landen precies. Het gaat onder meer om veel gegevens van gebruikers uit Frankrijk en de site heeft de gegevens met een steekproef geverifieerd. De gegevens zouden onder meer gebruikt kunnen worden voor gerichte phishingaanvallen.

Beveiligingsonderzoeker Chad Loder heeft over het datalek een onleesbaar gemaakt screenshot gepost en claimt ook dat het echt is. Er zouden gegevens van alle gebruikers uit bepaalde landen in de dataset staan. Om hoeveel gebruikers het precies gaat, is onbekend. Het is een andere dataset dan die deze zomer te koop werd aangeboden. Die bevatte gegevens van 5,4 miljoen accounts en is inmiddels vrij verkrijgbaar, zegt Bleeping Computer.

Het datalek heeft niets te maken met de overname van Twitter door Elon Musk vorige maand. De bug speelde eind vorig jaar. De kwetsbaarheid werd op 1 januari aangeboden op bugbountyplatform HackerOne door een beveiligingsonderzoeker. Het ging om een bug in de Android-client, waarbij een aanvaller een POST-request moest doen naar de onboarding-api van Twitter. De beveiligingsonderzoeker beschrijft het probleem in detail op HackerOne. Twitter heeft de kwetsbaarheid opgepakt en op 13 januari gerepareerd. Op 11 februari werden details gepubliceerd en kreeg de onderzoeker een beloning van 5040 dollar. Twitter heeft nog niet gereageerd op de hack.

Door Arnoud Wokke

Redacteur

28-11-2022 • 14:24

94 Linkedin

Reacties (94)

94
87
42
3
0
16
Wijzig sortering
Ik kan bevestigen dat er ook actief gebruik van wordt gemaakt. Er werd zojuist ingelogd in mijn twitter vanuit 'Ashburn, VA, USA'. Gaat lekker daar bij Twitter
Dus je hebt een default wachtwoord voor meerdere diensten die waarschijnlijk ook al bekend is bij haveibeenpwned en geen 2FA bij twitter aan staan?
2FA is niet "gewoon te spoofen". Ja, 2FA per SMS is "onveilig" (omdat sommige operators doodleuk een SIM opsturen als je er om vraagt) en er zijn manieren om TOTP / HOTP 2FA bij iemand los te pulken maar in alle gevallen is 't een behoorlijke drempel die men moet nemen om dat toegang te krijgen tot je account en in alle gevallen is 't beter dan alléén een wachtwoord..

[Reactie gewijzigd door RobIII op 28 november 2022 16:43]

Precies, om iemand zijn session cookie te clonen moet je wel echt een gerichte aanval uitvoeren i.p.v de bekende password lists of breaches als deze
Ik vraag me weleens vaker af, hoe vaak zou zo'n aanval voorkomen? Aangezien je eenmaal op "onthoud mij" klikt er geen 2FA meer nodig is.
Bij verandering van IP-adres weer om 2FA en/of wachtwoord vragen. Sluit het overigens niet volledig uit, maar is weer een extra drempel.

[Reactie gewijzigd door -DarkShadow- op 29 november 2022 15:10]

Zelf gebruik ik voor belangrijke accounts een Yubikey. Dan heb je een realtime challenge response welke niet te hacken is. Dat is het voordeel t.o.v een OTP met een time based challenge. Hiervoor moet de attacker wel een MITM of MITB hebben.

Voor Twitter heb ik zelf wel gewoon OTP
Bestaan er geen "onthoud mij" vinkjes voor het gebruik van yubikey, zoals dat bij 2FA gebeurt?
In principe "omzeilt" jouw apparaat de volgende keer dan een of meerdere factoren. Ik ben er niet zo thuis in, vgm gaat dat met een cookie. Is zo'n cookie (of net hoe het gebeurt) niet te stelen of misbruiken als aanval om zo 2FA te misbruiken voor een hacker?

edit: ja dit gebeurt dus inderdaad met een cookie, https://infosecwriteups.c...with-cookies-ff2c79022f63 legt uit hoe die dat misbruikt. In dat voorbeeld gebruiken ze wel phishing om aan de cookie te komen

[Reactie gewijzigd door Chiwn op 1 december 2022 09:53]

OTP zoals MS authenticator of Google Authenticator gaat idd via een cookie. Dat heet session hyjacking. Bij een Yubikey is dit onmogelijk door de realtime-challenge response. Deze is dus niet te omzeilen.

Binnen bijvoorbeeld MS365 kun je conditional policies inrichten voor high privileged accounts om elke inlog actie te forceren met een Yubikey. Daardoor ben je met dit soort attacks veilig.
Dit is ook een van de redenen dat ik de laptopdienst van school kritiseerde toen ze 2FA gingen verplichten via een app (nokia baksteen) of SMS (beperkt berichtgeheugen en plain text, dus onveilig). Uiteindelijk na een week uitgekomen op een Yubikey maar die moest eerst nog geactiveerd worden door de laptopdienst.
2FA is vooral te spoofen met social enginering of als de key niet veilig bewaard wordt. Een andere manier is als 2FA technisch niet goed geïmplementeerd is, waardoor er gewoon omheen gewerkt kan worden.

Maar 2FA in het algemeen als 'makkelijk te spoofen' afdoen is echt te kort door de bocht. Zo kunnen ze je wel van alles wijsmaken, natuurlijk. ;)
Om deze reden is een TOTP-cliënt het beste idee, maar ook gezond verstand.

Als ik naar bijv. het fictieve www.nepsite.net word doorgestuurd, daar inlog met mijn inloggegevens en 2FA gegevens invoer, dan kunnen ze toch binnen die tijd als ze actief meekijken met de invoer alsnog inloggen op de echte site van het fictieve www.site.net.
Eens, meeste hacks zijn nog steeds phishing links met een redirect naar de official portal. Hier slaan ze simpelweg de creds op en word je later gehackt omdat je Single Authentication hebt. Met een OTP ben je ook te hacken, maar dan moet je direct de session cookie gebruiken om een sessie te klonen. Iets meer werk,komt voornamelijk voor bij spear phishing waarbij je als bedrijf al echt het doel bent.
Als jouw 2fa bestaat uit sms, ja dan ben je niet veilig. Ook ligt het er aan of de dienst een bypass van 2fa toestaat door bv een code naar sms te sturen, zoals veel crypto exchanges hebben
Dat zegt ie niet.

Kan heel goed zijn dat twitter alvast een mailtje stuurt als er verdachte inlogpogingen zijn. Google doet dit ook, vaak al voordat je de kans hebt om 2fa code aan te klikken.
er werd zojuist ingelogd in mijn twitter
Hij zegt dus dat er is ingelogd bij zijn twitter.
Als het mislukt was was het geweest 'er is net geprobeerd in te loggen bij mijn twitter".

Daarnaast, om bij de 2FA te komen, is je wachtwoord dus ook al gelekt. Anders kom je daar niet eens aan.

[Reactie gewijzigd door SunnieNL op 28 november 2022 15:48]

Hij zegt dus dat er is ingelogd bij zijn twitter.
Als het mislukt was was het geweest 'er is net geprobeerd in te loggen bij mijn twitter".
Mja, dat ligt er maar net aan wat er in het bericht stond en hoe @Damion776 dat heeft geïnterpreteerd. Het is geen letterlijke quote van het bericht dus dat is aan interpretatie onderhevig.

We kunnen iig stellen dat er is geprobeerd om in te loggen op een locatie die nogal verdacht is gezien de login patronen van Damion776. Of dat nu een poging is geweest of dat het ook daadwerkelijk gelukt is, laat ik liever in het midden aangezien we daar nogal aan interpretatie onderhevig zijn.

Het zegt iig niks over een default password (kan namelijk ook een bruteforce zijn geweest van een wachtwoord wat te simpel is) en ook niet over 2FA enabled of niet, want verschillende diensten gaan hier verschillend mee om.

Zoals ik al zei stuurt Google al bij een verdachte poging een mail. Hotmail/outlook ook, ook al is het niet gelukt.
Misschien is Twitter wel eens gehacked en hebben ze het geheim gehouden?
Twitter had een randomly generated password met de Password manager van Google. dus nope geen 'default password'. Maar nee 2FA stond niet aan, twitter staat sws geregistreerd op mijn spam email dus zo nodig vond ik 2FA niet.
Dan ben ik wel benieuwd hoe ze dan op je twitter zijn ingelogd. Want in dit geval is er verder niets naar buiten gekomen dan handle + email + telnr. Er stond geen wachtwoord in de gegevens die zijn buitgemaakt. Een verslagen random wachtwoord zal ook niet in lijsten staan die al eerder zijn gelekt waarbij er dus niet een 1+1 gedaan kan worden bij inloggen.
Dus hoe zijn ze dan in jouw account terecht gekomen?

Of was het een poging tot inloggen? Wat wel wat anders is dan het daadwerkelijk inloggen op een account?
Ik denk dat @Damion776 er inmiddels wel achter is waarom dat een risico is. Dit voelt een beetje als natrappen op een post die als behulpzaam bedoeld is.
.

[Reactie gewijzigd door Arie De Ruiter op 28 november 2022 20:11]

Precies die verharding die Tweakers zo onaangenaam maakt en waar het team van Tweakers nu juist vanaf wil.
Heb je geen 2FA aan staan?
Ik heb 2fa op alle belangrijke accounts. Maar Twitter is bij mij een account die geregistreerd staat met mijn spam-email en enkel gebruikt wordt om te klagen als bedrijven me proberen te benadelen en er wat public shaming nodig is.
In dergelijke lekken zit tegenwoordig zelden tot nooit meer bruikbare wachtwoorden.

Als iemand dan toch kan inloggen, dan zal dat eerder gebeurt zijn omdat ze - zoals @SunnieNL ook suggereert - gegevens konden combineren uit diverse lekken (waaronder een met een slecht wachtwoord). Of je wachtwoord was natuurlijk te raden a.d.h.v. je overige persoongegevens.
Hackers hebben gegevens zoals e-mailadressen en telefoonnummers van mogelijk tientallen miljoenen Twitter-gebruikers buitgemaakt.
Hoe kunnen ze inloggen met jouw Twitter account dan? Zo te zien zijn er in dit lek geen wachtwoorden buit gemaakt.
De kans is erg klein dat dit met deze hack heeft te maken. De hackers hebben namelijk geen wachtwoorden buitgemaakt. Weet je zeker dat je het zelf niet bent geweest met bijvoorbeeld een VPN?
Waarschijnlijk vanuit/via een amazon servertje daar.
Al die tijd hebben ze gewacht op een nieuws onderwerp op Tweakers om bij jou in te loggen!
Niet toevallig een stukje malware binnen gehengeld? Raccoonstealer is nogal booming atm
Kan iemand eens uitleggen hoe je 5,4 miljoen adressen door een foutje in een API kan krijgen? Linksom of rechtsom, een API mag toch nooit zomaar zoveel data uitleveren?
Waar die veronderstelling vandaan komt dat een API niet veel data mag uitleveren ontgaat mij compleet, het is een bug in de Android client m.b.t. de loginflow en de flowtoken die je als response terugkrijgt, met deze response kun je met weinig scriptkennis oneindig itereren door een groot stuk van de userdatabase van Twitter, elke loginpoging is feitelijk een request/response via de API, daar zit geen limiet aan.

Uitleg van de beveiligingsonderzoeker vind je hier: https://hackerone.com/reports/1439026

[Reactie gewijzigd door j4ck1nth3b0x op 28 november 2022 15:24]

En aangezien Twitter zo gigantisch is qua userbase valt het in de statistieken van zo'n API ook niet echt op als er zoveel calls op een API plaatsvinden.
Deze uitleg snap ik niet en is in mijn ogen te voorkomen door security by design toe te passen in het ontwerpproces. In mijn ogen zou een toename van 5,4 miljoen api calls toch echt wel reden mogen zijn van een alert, al helemaal als je in de URL ziet dat het om login requests gaat.

Tuurlijk in absolute aantallen gaan de extra requests mogelijk niet opvangen in monitoring door het aantal logins die er op een dag plaatsvinden. Tegelijkertijd, welke Twitter gebruiker zou er vanaf een bepaald IP-adres meer dan op I dunno (ik heb geen cijfers) 10 accounts moeten inloggen per uur?

Dan zou ratelimiting op zo’n api al helpen, monitoring en alerting wanneer iemand over waarde X per Y tijd heen gaat zou kunnen helpen.

Daarnaast zou je ook kunnen kijken naar de interval tussen login pogingen, scripts willen het liefst achter elkaar door werken dus met een lichte diviatie ivm internet congestie / drukke server / trage cliënt kun je monitoren op dergelijke patronen en daar acties aan verbinden. Sure een randomiser die elke keer met een random waarde komt voor een sleep functie tussen de requests door is zo gemaakt maar het gaat erom dat je probeert zoveel mogelijk risico’s af te vangen als het gaat om beveiliging.

Nog steeds is het niet waterdicht maar de meeste hackers die een brute force scriptje gaan schrijven zullen niet de mogelijkheid hebben / de moeite nemen om per X tijd hun request IP adres te veranderen.
Maar 5,4 miljoen requests vanuit dezelfde IP moet toch opvallen zou je zeggen?
Maar 5,4 miljoen requests vanuit dezelfde IP moet toch opvallen zou je zeggen?
Geen idee, ik werk niet bij Twitter, maar als er wekelijks 500 miljoen concurrent gebruikers zijn die aan- en uitloggen zou ik zeggen nee...
Waar die veronderstelling vandaan komt dat een API niet veel data mag uitleveren ontgaat mij compleet,
Er zijn ook weldegelijk API's te vinden die het aantal requests limiteren / throtlen. Sterker, dit is in veel API Gateway producten standaard functionaliteit. Ik meen mij te herinneren dat de KvK / het kadaster ook een degelijke limiet kent om het aantal requests binnen de perken te houden per API token.
Je kunt ook een profiel maken van hoeveel data en hoeveel queries er gemiddeld naar 1 API gebruiker/publiek IP gaat per uur/ dag/maand, hoeveel onder normale omstandigheden, en daarmee zouden deze zaken er vrij snel uithalen zijn toch ? Dat lost het probleem niet direct volledig op, maar ik vind het toch ook maar raar dat ze dat allemaal via een API hebben laten ontfrutselen...
1 keer meegemaakt bij een bedrijf waar ik via een api ook info ophaal. Door een foutje bij hun update release waren ze vergeten om de comment bij // 'customer_id' => .... weg te halen, daardoor kreeg ik alle info ipv mijn eigen info kreeg.
Dat is slechte code. Dat lijkt op injectie achtige gevoeligheden.

Bizar!
Ja tuurlijk, kan er ook nog wel bij in alle Twitter chaos van de afgelopen maand. :')
Het datalek heeft niets te maken met de overname van Twitter door Elon Musk vorige maand. De bug speelde eind vorig jaar. De kwetsbaarheid werd op 1 januari aangeboden op bugbountyplatform HackerOne door een beveiligingsonderzoeker.
Wat heeft dat er mee te maken?
Dat dit in der tijd speelde kan zijn, maar het helpt niet mee dat dit nu breed naar buiten komt. Beeldvorming is alles.

[Reactie gewijzigd door the_shadow op 28 november 2022 14:35]

Beeldvorming is subjectief. Ik heb totaal geen problemen met de overname door Musk, integendeel.
Want de overname heeft gezorgd voor een beter lopend bedrijf? Beeldvorming is subjectief, maar heel erg lekker lijkt het daar toch nog niet te lopen op het moment.
Ik heb al een paar reorganisaties meegemaakt en het gaat eigenlijk nooit vlekkeloos. Dus ik snap die Musk wel een beetje. Als het toch moet gebeuren, dan maar snel en slecht dan langzaam en alsnog slecht.

Bedenk wel dat hij een bedrijf heeft gekocht dat enorme verliezen maakte. Nu hij eigenaar is, moet hij die verliezen uit eigen zak ophoesten. Ik snap best dat hij er met de botte bijl inhakt. Volgens mij is hij ook iemand die risico durft te nemen ook al zegt iedereen dat het niet verstandig is.

Nu hij een kleiner clubje heeft waar alleen de echte die hards zijn overgebleven, kan hij vandaaruit weer opbouwen naar zijn visie voor twitter. Of hij zal slagen weten we nu niet, maar ik geloof wel dat hij er echt voor gaat.
Nouja. Bij een overname en herorganisatie kan het even duren voordat men de draai weer gevonden heeft. Dat is niet zo gek.

Er worden immers nieuwe koersen uitgezet, nieuwe visie, beleid, teamwisselingen en productportfolio wordt herzien.

Dat dit niet in 1 maand allemaal als een geoliede machine loopt is dan wel logisch.
Apart. Je houdt wel van tirannen? En je denkt dat ontwikkelaars die overal werk zat kunnen vinden bij een slavendrijver blijven werken?
Ontwikkelaars wel, alleen bij Twitter was een groot deel van de mensen overhead die geen moer uitvoerden, niet naar kantoor kwamen tegen een megasalaris en de rest was 24/7 bezit met het uitvoeren van censuur op andersdenkenden.
Nou ja.. hij zegt niks over dat het met Elon te maken heeft, meer met alle negatieve nieuwsberichten die over Twitter naar buiten worden gebracht.
Oud nieuws of niet, mensen lezen.. Twitter gehacked.
Niks met de overname van Musk, maar wel met de chaos. Het is chaos, dit is nog meer chaos, past goed bij elkaar.

Kan Musk helemaal niks aan doen, maar hij zal er ook zeker niet blij mee zijn
Nou ja, Chaos in de Twitter bubbel dan he. De wereld draait wel door, met of zonder Twitter.
De timing van de berichtgeving komt hem wel wat ongelukkig uit zo tussen alle andere negatieve berichten.
niets maar het komt in de publieke opinie wel op de stapel onder trefwoord 'twitter'.
CNN zou ook al een priceless headline hebben in de trant van 'Musk zou de vrijheid van meningsuiting kunnen schaden door letterlijk iedereen toe te staan om hun mening te uiten'.

Er gaat vast wel iemand aan de haal hiermee, iets met 'wat een brak platform is dat zeg, en het zal onder Musk wel niet beter worden'.

Haters gonna hate, of het nou logisch is of niet.
En volgelingen blijven volgen, wat degene die ze aanbidden ook doet.
dat is het idee van het concept 'volgelingen' ja.
Over een paar uur terug komen dan is er ook hier vast wel iemand die niet goed leest en Musk hier de schuld van geeft, want hoe kun je nu zoveel mensen ontslaan en verwachten dat de site veilig blijft o.i.d.
Eigenlijk zou de titel aangepast moeten worden naar "Hackers maakten...." zodat het duidelijk is dat het in een verleden heeft afgespeeld. Dat zou al een deel van de beeldvorming over de hack juist maken.

Want mijn eerste gedachte was: dat zal wel mede komen door de huidige chaos bij twitter. Wat dus niet het geval is...
Deze hack is inderdaad al van eventjes geleden, maar waar leg je de grens?
Hacks worden meestal eerst uitgevoerd en later komt er pas een bericht over.
Dus zou het gewoon altijd in de verleden tijd geschreven moeten worden. Het heeft immers ook in het verleden plaatsgevonden.

Tegenwoordige tijd is alleen taalkundig juist te gebruiken als het ook echt nu plaatsvind, naar mijn mening.
de hack is in het verleden begonnen maar je moet ze natuurlijk even de tijd geven aangezien het om tientallen miljoenen accounts gaat. :+

Zou overigens wat zijn als er een bericht verschijnt die toekomstige tijd gebruikt met betrekking tot een hack.
Okay, iedere keer wordt duidelijk:
Gebruik serieuze email en telefoonnummer voor serieuze zaken.
Maak en gebruik trash/wergwerp email en telefoonnummer voor socials en internetshoppen en overige webaccounts.
Twitter heeft nog niet gereageerd op de hack.
lol, waarschijnlijk is die dienst ontslagen :+
Je bedoelt waarschijnlijk afdeling of team. Inderdaad, te veel mensen zijn denk ik ontslagen om overal adequaat op te kunnen reageren en snel bugs/beveilingsproblemen op te kunnen lossen dan wel in een snelle tijd.
Het is erg vervelend om weer te zien dat er zoveel persoonlijke informatie zo gemakkelijk op straat is komen te liggen. Gelukkig heb ik tot nu toe altijd de vraag kunnen weerstaan om mijn telefoonnummer aan Twitter af te geven, ze vragen er geregeld om en het is maar goed dat ik deze nooit heb gegeven. Je zal maar naar aanleiding van deze gestolen dataset het slachtoffer worden van phishing. Net even niet goed opletten en de phishende criminelen trekken je in hun fuik.
N.B.
Chad publiceerde dit nieuws op Twitter zelf ook, zeer kort daarna is zijn account suspended.
sorry dat ik weer alleen post als er zaken niet kloppen.
Hoezo wordt er in de titel over "tientallen miljoenen accounts" gesproken, en gaat het in het artikel "maar" over 5,4 miljoen accounts?

Kan dit niet beter "miljoenen accounts" zijn i.p.v. "tientallen miljoenen"
Die 5.4 miljoen accounts is een andere dataset die eerder werd aangeboden. Dat gaat dus om een andere hack
Begrijpend lezen blijft een lastig dingetje;
Hackers hebben gegevens zoals e-mailadressen en telefoonnummers van mogelijk tientallen miljoenen Twitter-gebruikers buitgemaakt. Dat gebeurde via een bug in de api waardoor eerder gegevens van 5,4 miljoen gebruikers zijn uitgelekt.
De kneep zit 'm in het woordje eerder
Een aantal diensten waaronder Warzone 2.0 vereist dat je een 06-nummer opgeeft om te kunnen spelen. Voor mij een reden om het spel gedag te zeggen. Datzelfde gold voor Twitter dat mij toegang ontzegde tot mijn account dat ik sinds 2011 had totdat ik een telefoonnummer invoerde, nadat ik enkele kritische vragen stelde aan een CEO van Pfizer of het vaccin voor type A of D was ontwikkeld.
Voor mij is een telefoonnummer bijna net zo heilig als mijn BSN. Hoe kijken anderen hier tegenaan ?

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee