Sicherheitsverletzung der Twitter-API legt Daten von 5,4 Millionen Nutzern offen

Treffen Sie vom 11. bis 12. Juli Top-Führungskräfte in San Francisco, um zu erfahren, wie Führungskräfte KI-Investitionen integrieren und optimieren, um erfolgreich zu sein. Erfahren Sie mehr

Im Juli dieses Jahres begannen Cyberkriminelle, die Benutzerdaten von mehr als 5,4 Millionen Twitter-Nutzern in einem Hacker-Forum zu verkaufen, nachdem sie eine im Dezember 2021 offengelegte API-Schwachstelle ausgenutzt hatten.

Kürzlich veröffentlichte ein Hacker diese Informationen kostenlos, gerade als andere Forscher einen Verstoß meldeten, der Millionen von Konten in der EU und den USA betraf

Einem Blogbeitrag von Twitter vom August zufolge ermöglichte der Exploit Hackern die Übermittlung von E-Mail-Adressen oder Telefonnummern an die API, um herauszufinden, mit welchem ​​Konto sie verknüpft waren.

Obwohl Twitter die Schwachstelle im Januar dieses Jahres behoben hat, hat es dennoch die privaten Telefonnummern und E-Mail-Adressen von Millionen von Nutzern offengelegt und betont, dass die Auswirkungen offengelegter APIs für moderne Unternehmen verheerend sein können.

Transformation 2023

Besuchen Sie uns vom 11. bis 12. Juli in San Francisco, wo Top-Führungskräfte erzählen, wie sie KI-Investitionen erfolgreich integriert und optimiert und häufige Fallstricke vermieden haben.

Der Twitter-Verstoß erfolgt inmitten einer Welle von API-Angriffen. Salt Security berichtet, dass 95 % der Unternehmen in den letzten 12 Monaten Sicherheitsprobleme bei Produktions-APIs hatten und 20 % einen Datenverstoß aufgrund von Sicherheitslücken in APIs erlitten.

Diese hohe Ausnutzungsrate passt zu Gartners Prognose, dass API-Angriffe in diesem Jahr zum häufigsten Angriffsvektor werden würden.

Eine der bedauerlichen Realitäten von API-Angriffen besteht darin, dass Schwachstellen in diesen Systemen den Zugriff auf beispiellose Datenmengen ermöglichen, in diesem Fall auf die Datensätze von 5,4 Millionen Benutzern oder mehr.

„Da APIs dazu gedacht sind, dass Systeme miteinander kommunizieren und riesige Datenmengen austauschen, stellen diese Schnittstellen ein verlockendes Ziel für den Missbrauch durch böswillige Akteure dar“, sagte Avishai Avivi, CISO von SafeBreach.

Avivi weist darauf hin, dass diese Schwachstellen direkten Zugriff auf zugrunde liegende Daten ermöglichen.

„Während herkömmliche Software-Schwachstellen und API-Schwachstellen einige gemeinsame Merkmale aufweisen, unterscheiden sie sich im Kern. APIs vertrauen bis zu einem gewissen Grad dem System, das versucht, eine Verbindung zu ihnen herzustellen“, sagte Avivi.

Dieses Vertrauen ist problematisch, da ein Angreifer, sobald er Zugriff auf eine API erhält, direkten Zugriff auf die zugrunde liegenden Datenbanken einer Organisation und alle darin enthaltenen Informationen hat.

Die größte Bedrohung, die sich aus diesem Verstoß ergibt, ist Social Engineering. Unter Verwendung der Namen und Adressen, die durch diesen Verstoß ermittelt wurden, ist es möglich, dass Cyberkriminelle Benutzer mit E-Mail-Phishing, Voice-Phishing und Smishing-Betrug ins Visier nehmen, um Benutzer dazu zu verleiten, persönliche Informationen und Anmeldedaten preiszugeben.

„Wenn so viele Informationen offengelegt werden, könnten Kriminelle sie ganz leicht nutzen, um überzeugende Social-Engineering-Angriffe gegen Benutzer zu starten. Dabei könnte es sich nicht nur um deren Twitter-Konten handeln, sondern auch darum, sich als andere Dienste wie Online-Shopping-Seiten, Banken oder sogar Finanzämter auszugeben.“ „, sagte Javvad Malik, Befürworter des Sicherheitsbewusstseins bei KnowBe4.

Während sich diese Betrügereien auf Endbenutzer richten, können Organisationen und Sicherheitsteams zeitnahe Updates bereitstellen, um sicherzustellen, dass Benutzer sich der Bedrohungen bewusst sind, denen sie am wahrscheinlichsten begegnen, und wissen, wie sie ihnen begegnen können.

„Die Leute sollten immer nach verdächtigen Mitteilungen Ausschau halten, insbesondere wenn persönliche oder sensible Informationen wie Passwörter abgefragt werden“, sagte Malik. „Im Zweifelsfall sollte man sich direkt an den vermeintlichen Dienstleister wenden oder sich direkt in sein Konto einloggen.“

Für Sicherheitsteams ist es außerdem eine gute Idee, Mitarbeiter daran zu erinnern, die Zwei-Faktor-Authentifizierung für ihre persönlichen Konten zu aktivieren, um die Wahrscheinlichkeit unbefugter Anmeldungen zu verringern.

Die Mission von VentureBeat soll ein digitaler Stadtplatz für technische Entscheidungsträger sein, um sich Wissen über transformative Unternehmenstechnologie anzueignen und Transaktionen durchzuführen. Entdecken Sie unsere Briefings.