Een hacker is erin geslaagd om de interne systemen van Twitter te infiltreren. Zo wist hij de e-mailadressen en telefoonnummers van 5,4 miljoen Twitteraars buit te maken. Deze privégegevens worden nu via het dark web te koop aangeboden. Twitter bevestigt het datalek en onderzoekt momenteel de zaak. Techsite Restore Privacy ontdekte de datadiefstal.
De kwetsbaarheid waar de dader misbruik van heeft gemaakt, werd in januari van dit jaar gemeld bij bug bounty programma HackerOne. Door de kwetsbaarheid kon iedereen zonder enorm vorm van authenticatie een Twitter ID verkrijgen, en daarmee feitelijk de gebruikersnaam van iedere Twitter account. Ook e-mailadressen, telefoonnummers en andere gegevens lagen hierdoor voor het oprapen.
Enkele dagen later erkende Twitter dat het om een serieus beveiligingsprobleem ging. Als dank voor de melding kreeg de ontdekker een beloning van iets meer dan 5.000 dollar toegekend. Het lek werd direct gedicht. Helaas voor miljoenen Twitteraars was het toen al te laat en bleek iemand misbruik te hebben gemaakt van de kwetsbaarheid in het autorisatieproces.
De aanvaller wist e-mailadressen en telefoonnummers van in totaal 5.485.636 Twitter-gebruikers buit te maken. Van deze data maakte hij een database die hij vervolgens te koop aanbood op Breached Forums. Het hackersforum op het dark web kreeg eerder deze maand naamsbekendheid, omdat er een dataset werd aangeboden die bestond uit gegevens van meer dan één miljard Chinezen.
Het te koop bericht verscheen op donderdag 21 juli en staat nog altijd online. De verkoper publiceerde die dag een sample van de gestolen privégegevens. Beveiligingsexperts hebben hierdoor kunnen vaststellen dat het om legitieme data gaat.
Restore Privacy heeft de gegevens van de sample bestudeerd. Naar eigen zeggen zijn Twitteraars van over de hele wereld het slachtoffer van het datalek. De techsite bevestigt dat er naast gebruikersnamen ook echte namen, locatiegegevens, aantal volgers, profielbeschrijvingen, e-mailadressen en telefoonnummers zijn gestolen. Het proefmonster bevatte geen wachtwoorden.
De redactie van Restore Privacy nam contact op met de hacker en vroeg hoeveel hij wilde hebben voor de gehele database. Hij reageerde met: “Niets minder dan 30.000 dollar”. Verder zei dat hij dat het datalek mogelijk was door “de incompetentie van Twitter”.
Tot slot nam Restore Privacy contact op met Twitter om tekst en uitleg te vragen. In een reactie erkende Twitter dat het voorval echt is en het datalek daadwerkelijk heeft plaatsgevonden. De microblogdienst wil op dit moment niet meer details delen, omdat de kwestie momenteel wordt onderzocht.
In mei was Twitter het doelwit van een phishingcampagne. Cybercriminelen hadden het voorzien op de inloggegevens van Verified Accounts. Dat zijn accounts met een blauw vinkje of badge naast hun gebruikersnaam. Deze geeft aan dat het account het officiële account is van een artiest, journalist, politicus of andere prominente persoon in een bepaalde gemeenschap.
De scam ging zo te werk. Twitteraars met een geverifieerd account ontvingen een e-mail waarin stond dat er iets mis was met hun profiel. Ze moesten direct in actie komen om hun account te behouden. In het bericht stond een URL die de ontvangers doorstuurde naar de pagina waar ze hun gegevens zogenaamd konden controleren. In werkelijkheid was het een phishingpagina waar Twitteraars hun inloggegevens moesten opgeven.
Daarna kregen ze per sms een ‘verificatiecode’. De daders combineerden de inloggegevens met deze code om een password reset uit te voeren. Zo raakten slachtoffers de controle over hun account kwijt. Hoeveel mensen in deze oplichtingstruc trapten is onbekend.
