Een hacker verkoopt voor omgerekend twee euro de e-mailadressen van 200 miljoen gescrapete Twitter-accounts. Het lek lijkt een ontdubbelde versie te zijn van de 400 miljoen Twitter-accountgegevens die rond Kerst te koop werden aangeboden en waar meer voor werd gevraagd.
Inmiddels hebben onder meer Have I Been Pwned, BleepingComputer en beveiligingsbedrijf Hudson Rock de geldigheid van het bestand bevestigd. Volgens Have I Been Pwned zitten er 211.524.284 unieke e-mailadressen in het bestand. Het nieuwe bestand zou dezelfde gegevens bevatten als de eerdere database van 400 miljoen Twitter-gebruikers, maar dan zonder duplicaten. Toen wilde de hacker ook minimaal zestigduizend dollar voor het bestand, nu wordt er ongeveer twee dollar gevraagd.
Het bestand bevat de e-mailadressen en Twitter-gebruikersnamen van ruim 200 miljoen Twitter-accounts, die in 2021 met kwetsbaarheden in Twitters api zijn gescrapet. Bij die kwetsbaarheid konden gebruikers e-mailadressen en telefoonnummers invoeren en zo bevestigd krijgen of deze gekoppeld zijn aan een Twitter-account. Met een andere api konden hackers weer alle publieke data van dit Twitter-account scrapen. Twitter dichtte deze kwetsbaarheden in januari vorig jaar.
Have I Been Pwned geeft aan dat 98 procent van de gelekte e-mailadressen al eerder bekend waren. Het gevaar van het lek zit dus niet in het lekken van de e-mailadressen, maar dat deze gekoppeld zijn aan Twitter-accounts. Zo kunnen anonieme Twitter-accounts bijvoorbeeld gedoxt worden, zegt Hudson Rock, en kunnen accounts makkelijker gehackt worden. Naast de gebruikersnaam en het e-mailadres bevat het bestand namen, aantal volgers en wanneer een account is aangemaakt. Gebruikers kunnen op Have I Been Pwned zien of hun e-mailadres aan hun Twitter-gebruikersnaam kan worden gekoppeld.
Secondly, this sets a new record: there are 1,063,803 @haveibeenpwned subscribers in this breach (I have 4.4M subscribers at present) so yeah, I have some emails to send! Then there's another 60,851 people monitoring domains so they'll get an email too.
— Troy Hunt (@troyhunt) 5 januari 2023
:strip_icc():strip_exif()/u/176404/crop5d8a18233281d_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/1118701/crop5ba516884cb75_cropped.jpeg?f=community)
/u/94596/crop643fb12fd4e6d.png?f=community)
:strip_icc():strip_exif()/u/25212/crop5bb715b4827b7_cropped.jpeg?f=community)
:strip_exif()/u/47900/baph.gif?f=community)
:strip_icc():strip_exif()/u/21673/crop65674aee06c6d_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/621125/crop65cd0fde312bc_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/125182/crop5f773b38ac426_cropped.jpeg?f=community)
/u/1889266/crop64446ab4df1e2_cropped.png?f=community)
:strip_icc():strip_exif()/u/94317/crop5ddbd733006db_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/195618/mp3smiley.jpg?f=community)
/u/1422068/crop62dfcdfe18780_cropped.png?f=community)
:strip_icc():strip_exif()/u/972007/crop5d98519d0b09c_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/105486/crop570f76e2c528c_cropped.jpeg?f=community)
/u/23785/crop5dcd5c59e07f9.png?f=community)
:strip_icc():strip_exif()/u/390893/crop6862e46f4d80e_cropped.jpg?f=community)
:strip_exif()/u/5450/thx.gif?f=community)
:strip_exif()/u/91615/hann1bal.gif?f=community)
/u/141998/crop57f8cd396d9ce_cropped.png?f=community)
/u/1897540/crop63b69df339e27.png?f=community)
:strip_icc():strip_exif()/u/460447/crop6027b40883964_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/76569/garfield14.jpg?f=community)