Na Internetu se objevily 400 milionů údajů z účtů na Twitteru, hlavně tedy e-mail, o jaký účet jde a podle některých zdrojů i případně i telefonní číslo. Nejde o únik hesel, ale čistě jenom o tyto údaje. Původní 400 milionovou databázi pak útočníci “vyčistili” a lze získat 200 milionů e-mailů a k tomu odpovídajících účtů na Twitteru.
Útočníci je získali přes bezpečnostní chybu, která umožňovala “scrapping”, tedy postupné automatizované “vyzobávání” těchto údajů z Twitteru na základě znalosti e-mailu, takže e-maily již měli, pouze k nim přidali další údaje.
Chyba je už opravena, data v úniku (a únik to je, nejde o veřejně přístupná data) jsou z doby před několika měsíci. Podle některých informací má jít o sběr z doby od listopadu 2021 do prosince 2021. V lednu 2022 každopádně Twitter chybu opravil.
Poznámka: Prvotní únik byl přes 400 milionů údajů, poté se to změnilo na 200 milionů. Došlo k odstranění duplicit. Twitter má přes 330-360 milionů uživatelů, aktivních nutno dodat, počet účtů může být až několikanásobně vyšší.
PS: Ano, Mára Prchalů, tedy lépe řečeno, jeho e-mail, je také mezi úniky. Proto fotka v záhlaví
Co to vlastně znamená? Máte na to nějak reagovat? Jaká jsou rizika?
Především, to co budu psát dále platí pro jakékoliv podobné úniky – tedy to, že někde uniknou účty na nějaké síti a lze identifikovat k nim přiřazený e-mail a případně i telefonní číslo. Není to jen otázka Twitteru.
SPAM je první komplikace, kterou takovéto úniky znamenají, ale je to komplikace nejmenší. Prostě ti co se živí rozesíláním spamu si koupí/stáhnout dalších pár set milionů e-mailů a získají tak něco navíc oproti tomu, co už mají. Dělat s tím nemusíte (a ani nemůžete) nic, jen to chce mít e-mailové řešení, které dobře brání spamu (jako třeba Gmail).
Phishing a sociální inženýrství je už poněkud větší riziko, navíc pokud si případný útočník zkontroluje, že váš účet je živý, čemu se případně věnuje, kde pracujete, jaký máte web. Dělat s tím už nemůžete nic, prostě být klasicky opatrní. Dávat si například pozor na podvržené e-maily “od Twitteru”, ale to snad děláte i tak.
Největší riziko pro phishing je u účtů, které jsou hodnotné – tedy zejména takové, které mají hodně sledujících. Nebo ověřené účty. Tam mohou být cílem snahy je ukrást.
S tím související otázka je – mám si změnit e-mail u účtu na Twitteru? Spíš ne, protože k přihlášení k účtu není třeba (stačí nick). Na druhou stranu, co určitě udělejte, ujistěte se, že onen e-mail je dostatečně chráněný – protože pokud vám ho hacknou, tak vám hacknou i ten Twitter (viz dále).
Prozrazení identity je jedno z rizik tam, kde účet je “anonymní” či prostě skrývá osobu – může být poznatelná z e-mailu. Nebo může být identifikovatelné které firma účet provozuje. Tohle je, realisticky, jedno z největších rizik spojených s úniky tohoto druhu. V souvislosti s prozrazením identity je možným dopadem i doxing, což je označení pro prozrazení osobních informací, které o dané osobě/účtu nejsou dostupné.
Hack účtu má mírně zvýšené riziko právě tím, že je známo jaký e-mail či telefon k účtu patří a jak už bylo napsáno o kousek výše, ujistěte se, že máte Twitter chráněný dvoufaktorem stejně tak jako e-mail máte chráněný dvoufaktorem.
TIP: Je váš e-mail či telefon v úniku? Have I Been Pwned haveibeenpwned.com (HIBP) je to nejsnazší místo, kde si to můžete ověřit. A nemusíte se bát, e-mailů z úniků tam mají miliardy a telefonní číslo je jenom číslo, vygenerovat se dají všechny na světě. Pokud nevěříte této službě, tak Mozilla má Firefox Monitor a i tam si můžete ověřit též.
Měli byste změnit heslo? Není důvod, tedy pokud mezitím někdo váš účet nehacknul. Nebo, to je důležité a je to zásadní riziko – e-mail co unikl je spojen s používáním stejného hesla napříč více službami a ještě navíc vaše heslo uniklo někde v jiném úniku. Což vám také prozradí výše zmíněné HIBP i Firefox Monitor.
Co dělat pro snížení rizik z podobných úniků
- Klasicky a především, silné a unikátní heslo pro každou službu
- Takovéto heslo doplněné dvoufaktorovou ochranou
- Hesla ukládaná bezpečně v správci hesel
- Chcete-li ještě více, tak pro každou službu unikátní e-mail
- Do různorodých služeb nepřidávat zbytečně další osobní informace
