Hacker biedt gescrapete gegevens van 400 miljoen Twitter-gebruikers aan

Een hacker zegt de privédata van 400 miljoen Twitter-gebruikers te hebben gestolen via een bug in een api. De hacker verkoopt de gegevens op een forum nadat de api-bug werd gerepareerd.

De hacker, die zichzelf Ryushi noemt, heeft de data online gezet op BreachForums. Hij of zij claimt dat het gaat om data van 400 miljoen unieke Twitter-gebruikers. In de datasets staan de e-mailadressen en telefoonnummers van die gebruikers, naast hun gebruikersnaam en andere openbare informatie zoals het volgersaantal. Ryushi deelt een paar voorbeelden van bekende gebruikers, waaronder politici, topmensen uit het bedrijfsleven en influencers zoals Linus van Linus' Tech Tips.

Ryushi zegt dat de data gescrapet is uit een api. Die api-bug zou inmiddels gedicht zijn. De hacker zegt tegen BleepingComputer dat het ging om dezelfde bug als waarmee eerder 5,4 miljoen gebruikersgegevens uitlekten. Dat was mogelijk via een bug in de Android-client waarbij de aanvaller een POST-request kan doen naar Twitters onboarding-api. Die kwetsbaarheid is inmiddels gedicht, maar er zijn al meerdere groepen hackers geweest die de bug hebben uitgebuit en data hebben gestolen. Het ging echter nog niet eerder om zoveel gebruikers als nu het geval is.

De hacker wil de data verkopen via een tussenpersoon op BreachForums. Ryushi zegt dat hij of zij 200.000 dollar voor de data wil. Bij zo'n exclusieve verkoop wordt de data na afloop verwijderd van het forum. Als dat niet lukt, wil de hacker 60.000 dollar per aankoop die niet exclusief is. Ryushi zegt naar Twitter te zijn gestapt om een deal te sluiten, maar daar geen gehoor te vinden.

Twitter breach

Reacties (59)

Ted_W

27 december 2022 14:55

Kan aan mij liggen, maar scrapen vind ik nou niet bepaalde een vorm van hacken. Ik snap dat het nog steeds om een hacker kan gaan die dit 'erbij' doet, maar de suggestie wordt in mijn ogen toch gewekt dat deze 2 zaken aam elkaar gerelateerd worden.

Jerie

@Ted_W • 27 december 2022 17:26

Vaak hebben websites beveiliging tegen scrapen. Die omzeilen is hacken. Ook als het een lullige API bug blijkt te zijn. Klantendata zijn vaak wel degelijk kroonjuwelen (niet altijd). In de wereld waar data goud is, en dataverzameling een verdienmodel is, zijn het wat mij betreft wel degelijk mooie juwelen.

laptopleon @Jerie • 27 december 2022 22:49

Ik begrijp niet helemaal wat hier nou zo waardevol aan is. Wat weet twitter nou helemaal van haar klanten? Een email-adres, versleuteld wachtwoord en de tweets die toch al openbaar zijn. En bij de betalende klanten een bankrekeningnummer misschien? Is dat zo waardevol? Wat kun je daar nou helemaal mee? Bankrekeningen zijn goed beveiligd en mailadressen liggen al met bakken op straat.

copi @laptopleon • 28 december 2022 08:41

Voor social engineering lijkt het mij wel heel erg handig. Je kan contact opnemen en voordoen als een vriend/kennis, wat je kan weten door de gebruiker op te zoeken op Twitter (zelf geen Twitter gebruiker maar neem aan dat dat kan)
Als je een bedrijf wilt targeten, dan kan je misschien heel bruikbare achtergrond informatie opdoen

Nokian95dude @copi • 29 december 2022 13:02

Ja dat trucje is wel allang bekend en daar trapt men hopenlijk toch allang niet meer in....

Masvic @Ted_W • 27 december 2022 15:02

Het ontdekken dat een API route onbeveiligd is + vermoedelijk het omzeilen van request limits = hacken

Mushroomician @Masvic • 27 december 2022 18:39

Ik denk niet dat zijn advocaat het daarmee eens zou zijn. Een API is een contract. Je vraagt de server iets, de server geeft antwoord. Als de bevrager het niet had moeten krijgen had de server het niet moeten geven. Je vraagt wat aan een serveerder in een restaurant dan dient de serveerde ook te controleren of je daar wel recht op hebt. Anders ben je ALTIJD strafbaar, omdat je als bevrager niet vooraf kunt weten dat je een vraag niet mag stellen.

Masvic @Mushroomician • 27 december 2022 20:12

Als jij alle deuren van een pand gaat proberen en dan naar binnen loopt als je een deur vindt die per ongeluk open staat, en vervolgens zeer gevoelige papieren steelt en verkoopt... Dan noemt men dat inbraak.

ATS @Masvic • 28 december 2022 09:49

Nou nee. Dat heet insluiping. Braak impliceert het forceren van de toegang.

Mushroomician @Masvic • 27 december 2022 20:25

HTTP is een communicatiemiddel. Er wordt nergens naar binnen gegaan. Je stuurt een bericht. Bericht wordt gevalideerd. Bericht wordt beantwoord. Als een bevrager strafbaar is voor het doen van een http-verzoek kan elke organisatie we erg makkelijk hun verantwoordelijkheid afschuiven. bijv een bank accepteerd een datum als pincode en zegt dan dat de dief dat niet had moeten doen. Slap excuus natuurlijk.

Greetzkenny @Mushroomician • 28 december 2022 11:50

Als ik met de pincode van mijn oma ga pinnen en zij kan aantonen dat dat tegen haar wil is gebeurd, dan is dat illegaal. Het aantonen dat dat tegen de wil in was, is in dit geval het complexe stuk.

In het geval van deze 'hacker', ook al had de exploit niet mogen bestaan, geen rechter zal oordelen dat 400 miljoen gebruikers vrijwillig hun prive data aan deze 'hacker' hebben gegeven. Neemt niet weg dat een bedrijf daar verantwoordelijkheid draagt, de actie is nog steeds illegaal op het moment dat je aantoonbaar kunt maken dat er moedwillig gezocht is naar een ingang. Als ik via een dakraam ergens naar binnen ga en spullen mee naar buiten neem, is dat nog steeds 'threspassing' (weet nederlandse term even niet) en diefstal.

Mushroomician @Greetzkenny • 28 december 2022 11:54

Ik zeg het nogmaals: er wordt nergens naar binnen gegaan. Er wordt iets gevraagd:"Hey, heb jij voor mij deze data?" , waarop de server had moeten antwoorden: Nee.

Hoe moeten jij en ik vooraf weten wat je wel en niet mag vragen? Wat als die vraag al verboden is?
Wat als de vragen die ik nu stel verboden zijn omdat dat niet had gemogen van Tweakers en ik dit specifieke bericht helemaal niet had mogen doen via http-post?

Dan had de server dit moeten weigeren. Leg je de verantwoordelijkheid bij de bevrager? Dat zou wel erg handig zijn voor de verantwoordelijken (Twitter dus).

[Reactie gewijzigd door Mushroomician op 23 juli 2024 09:38]

Greetzkenny @Mushroomician • 29 december 2022 12:21

EDIT:

Ik heb 't artikel nog eens opnieuw gelezen. Ik ben 't in grote lijnen met je eens, ik speel vooral devils advocate. Misbruik maken van een situatie die niet zo had moeten zijn, is niet concreet meetbaar en zal daarom altijd een discussiepunt blijven. in bovenstaand scenario is het inderdaad praktisch een API call geweest op een publiek domein, daar is geen enkele sprake van criminaliteit.

Tenzij er details in dit artikel weggelaten zijn. Te veel vraagtekens. Als het puur een api call was, dan is er niks mis mee. Als er eerst andere beveiliging omzeild is op andere wijze, verandert dat het verhaal weer.

[Reactie gewijzigd door Greetzkenny op 23 juli 2024 09:38]

Mushroomician @Greetzkenny • 29 december 2022 12:23

De situatie kun je niet vergelijken met "naar binnen gaan".
HTTP is communicatie. Request en response.

In jouw vergelijking is het analoog een portier vragen om een pallet melk en hij/zij dat weggeeft.

Greetzkenny @Mushroomician • 29 december 2022 12:39

Ik had mijn antwoord aangepast voordat je een reactie schreef.

Northside @Mushroomician • 27 december 2022 20:31

Zijn advocaat zal het daar niet mee eens zijn inderdaad. Maar dat maakt niet uit, het gaat er om wat de rechter ervan vindt. En die zal het hoogstwaarschijnlijk wel strafbaar vinden.

Mushroomician @Northside • 28 december 2022 20:33

Knap dat jij denkt te weten wat een rechter zal vinden. Als je dat argument maakt voor de advocaten van Twitter had ik begrip voor je verwachting.

Northside @Mushroomician • 28 december 2022 20:53

Ik volg de rechtspraak op dit gebied een beetje. Inkoppertje voor de aanklagers, zaak als dit.

Christoxz @Ted_W • 27 december 2022 15:01

Echter een API misbruiken vereist wel wat meer skills, dan een tooltje die scraped van openbare websites.

Een hacker, is een persoon die binnendringt in een computernetwerk door de beveiliging te omzeilen.

Er is binnengedrongen in een netwerk die beter beveiligd had moeten zijn en daarvanuit is er data gescraped. Tussen deze data zit ook telefoon nummers & email adressen, die dan niet zomaar regulier te scrapen valt.

Sando @Ted_W • 27 december 2022 15:02

De hacker heeft na een kwetsbaarheidsanalyse een bug in een API gevonden waardoor onbedoeld gegevens opgevraagd konden worden. Vervolgens heeft hij deze geëxploiteerd door het herhaaldelijk te misbruiken (te scrapen). Volgens mij is dat gewoon hackerterminologie.

HvanL @Ted_W • 27 december 2022 16:13

De "hack" is een resultaat van iets wat niet gewenst is, hoe laat ik in het midden, maar 400M gegevens verzamelen is niet gewenst.
Er zijn ook "hackers" die een open database vinden, kan misschien kinderlijk eenvoudig zijn, maar is ongewenst en zie ik ook als een hack.

telenut @Ted_W • 27 december 2022 20:55

Ik ben ooit veroordeeld voor het aanpassen van een HTTP post request... Iets misdoen met een pc aanzien rechters als hacken dus

Thrizian @telenut • 28 december 2022 16:38

Hoop dat werkgevers dit niet tegen hun developers kunnen gebruiken, haha, Dat zou sneu zijn.

telenut @Thrizian • 29 december 2022 14:26

als ze dit gebruiken om zichzelf te verrijken zal dat wel degelijk kunnen

avlt @Ted_W • 28 december 2022 10:19

Maar data van 400 miljoen gebruikers scrapen? Dat zou je toch moeten merken als dat naar één of enkele IP-adressen verdwijnt?

SillieWous 27 december 2022 14:23

400k of 400 miljoen? Nogal een verschil.

Auteur

TijsZonderH Nieuwscoördinator @SillieWous • 27 december 2022 14:27

Miljoen idd, ik moet het gourmet nog even laten zakken volgens mij.

canonball @SillieWous • 27 december 2022 14:29

Even op de bron klikken en je weet het. Het gaat dus om 400 miljoen

Opi 27 december 2022 14:57

De gebruikers van Twitter worden benadeeld door het publiceren van de datasets, maar de hacker wil geld van Twitter krijgen. Aangezien het lek gedicht is, heb ik niet de indruk dat Twitter een (sterke) prikkel heeft om het gevraagde geld te betalen. Heb ik het dan mis dat je als hacker met deze manier van handelen niet zozeer de onderneming, maar de consument wilt schaden?

Accretion @Opi • 27 december 2022 19:51

De hacker verkoopt de data, hij vraagt geen losgeld.

Het kan zo zijn dan de hacker dezelfde dataset aan drie klanten verkoopt.

Twitter heeft 0 belang bij het kopen van de dataset, deze data heeft Twitter zelf al; en het zorgt er niet voor dat de data niet verder verkocht wordt.

avlt @Opi • 28 december 2022 10:24

Twitter zal heus niet gaan betalen; of ze de hacker nu betalen of niet, ze kunnen sowieso een dergelijk bedrag alvast reserveren voor de boetes van de verschillende waakhonden die ongetwijfeld gaan volgen.

En even terzijde, de "hacker" wil natuurlijk in crypto betaald worden?

BleghBlarg 27 december 2022 15:12

Ryushi zegt naar Twitter te zijn gestapt om een deal te sluiten, maar daar geen gehoor te vinden.

Waarom zou een bedrijf dat net bestolen is van data geloven dat alles daarna ook echt verwijderd wordt als ze een exclusieve prijs betalen en daarvoor meewerken aan dit soort acties? Het is niet zoals ransomware waar ze bijna niks anders kunnen. Dit is weer een van de vele lekken die over een week vergeten zijn.

drakiesoft 27 december 2022 14:59

Hacker? Zullen we deze gast gewoon dief noemen en bijbehorende straf geven?

wiseger @drakiesoft • 27 december 2022 15:17

Dief? Een API misbruiken om zonder toestemming een kopie te maken van een data verzameling is geen diefstal. Er zijn geen goederen ontvreemd.

Pep7777 @wiseger • 27 december 2022 16:21

Een deur binnenlopen die openstaat en inboedel meenemen is ook diefstal. Als je een beetje innerlijk kompas heb snap je wanneer je ergens bent waar je niet hoort te zijn (en dat geld ook voor netwerken). Het feit dat hij het te koop aanbied geeft aan dat hij echt geen goede intenties heeft.

Accretion @Pep7777 • 27 december 2022 19:52

En een deur binnenlopen die openstaat en een (eigen) kopie van de inboedel meenemen?

Ruuuuuubje @Accretion • 27 december 2022 22:29

Is bij een papieren met daarop klantgegevens nogsteeds diefstal.

avlt @Pep7777 • 28 december 2022 10:28

Insluiping alleen is al strafbaar. Als jij je begeeft op een plek waarvan je kunt weten dat het de bedoeling is dat je/onbevoegden er niet mogen komen maak je je al strafbaar.

NuEffeNiet @wiseger • 27 december 2022 15:24

Goed, een cybercrimineel dan die Twitter probeert af te persen door illegaal vergaarde gegevens te verkopen en/of te publiceren.

Jorgen Moderator Beeld & Geluid @wiseger • 28 december 2022 01:55

Wat maakt oneigenlijk toegang forceren tot data en deze onrechtmatig gebruiken anders dan diefstal dan?

Dat je geen fysiek op te pakken entiteit in handen hebt maakt het niet ineens beter

Jerie

@drakiesoft • 27 december 2022 17:32

Je kunt hacker en crimineel zijn, lockpicker en crimineel, pimp en crimineel, enz. In geval van eerste twee ben je niet per definitie ook crimineel maar de context (verkopen van illegaal verkregen persoonsgegevens) voldoet in ieder geval niet aan AVG. En lijkt dan ook eerder op heling (zie WvS). Dus crimineel. Elke lezer weet dit -onbewust- ook. Je morele radar/alarm gaat af als je leest dat hij het voor geld probeert te verkopen. Toch is het in vergelijking met een zero day in Amdroid op zwarte markt een schijntje.

Pino Blauw 27 december 2022 18:33

Jammer dat net zoals bij veel linkse media hier weer niet bij vermeld wordt dat dit gescraped is nog voor de overname door Elon Musk waardoor de suggestie gewekt kan worden dat dit de schuld van Elon is. Erg jammer want ik beschouw Tweakers als neutrale media maar er schijnt soms subtiel wat partijdigheid door.

pizzafried @Pino Blauw • 27 december 2022 19:58

Je schiet door. De suggestie maak je zelf. Ik dacht niet meteen bij het lezen van dit artikel: ¨Zie je wel, Elon Musk!". Dat doe je helemaal zelf. je eigenste paranoïde ik.

Ruuuuuubje @Pino Blauw • 27 december 2022 22:35

Volg een van de links en je kan lezen dat het om een lek gaat van begin dit jaar.
Wees critisch en lees verder, als er geen toelichting word gegeven of bronnen worden gedeeld zou je een punt kunnen hebben...

Verwijderd 27 december 2022 17:31

Dit komt toch nog allemaal uit de pre-Musk Twitter tijd!?

Dubbeldrank

@Verwijderd • 27 december 2022 20:09

Ja, Twitter heeft deze kwetsbaarheid in januari 2022 gerepareerd. De data zal dus uit diezelfde maand of eerder komen. Tevens valt er op BleepingComputer ook te lezen dat er in de door de verkopers vrijgegeven data slechts twee accounts verifieerd konden worden, de vraag is dus hoe betrouwbaar deze dataset is. Het zal een kwestie van tijd zijn voordat dit vrijgegeven wordt, aangezien ik niet verwacht dat er betaald gaat worden.

kaghy2 27 december 2022 15:24

Van mij mag ie... Mijn account is toch maar een dummy voor PS5 screenshot uploads

Bulls 27 december 2022 15:34

Gescrapete? Grappig dat Engelse woorden vernederlandst worden. Ik had het gewoon “scraped” genoemd.

lDDQD @Bulls • 27 december 2022 16:35

Hoe had je hacker genoemd?

Bulls @lDDQD • 27 december 2022 17:25

Hakker?

bhartman @lDDQD • 27 december 2022 18:45

Onbevoegde computerinbreker

Verwijderd @lDDQD • 27 december 2022 18:50

Krakrimineel

gimbal @Bulls • 27 december 2022 17:46

Moet je zelf weten, maar dan ga je wel Engelse en Nederlandse grammatica door elkaar heen gebruiken. Vind je dat dan niet "grappig" ?

Untouchable 27 december 2022 20:25

er zitten ook heel bot accounts tussen dus waarom zou je zo iets in je hoofd halen om te delen ik denk dat ze niks beters te doen hebben dan data te scrappen eigenlijk en door verkopen later lopen ze tegen de lamp aan

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (59)

Sorteer op:

Weergave: