▪︎ مجلس نيوز
قاعدة بيانات منشورة عبر الإنترنت تدعي الكشف عن أكثر من 200 مليون اسم مستخدم وعناوين بريد إلكتروني مرتبطة بتويتر. الآن ، بعد عدة أيام من تقديم التقارير الأولية ، تويتر يقول “لا يمكن ربط مجموعة البيانات بالحدث الذي تم الإبلاغ عنه مسبقًا أو أي بيانات ناشئة عن استغلال أنظمة Twitter.”
بالنسبة الى تقارير من الباحثين الأمنيين ووسائل الإعلام بما فيها الكمبيوتر، تم تجميع بيانات الاعتماد في التسريب من عدد من خروقات Twitter السابقة التي يعود تاريخها إلى عام 2021. ومع ذلك ، وفقًا لتويتر ، “لا يوجد دليل على أن البيانات التي تم بيعها مؤخرًا قد تم الحصول عليها من خلال استغلال ثغرة أمنية في أنظمة Twitter.”
يتناول بيانها المعلومات الواردة في مجموعات البيانات فقط بالقول: “من المحتمل أن تكون البيانات عبارة عن مجموعة من البيانات المتاحة بالفعل للجمهور عبر الإنترنت من خلال مصادر مختلفة”.
الحافة اتصلت بتويتر لمزيد من الوضوح حول دقة السجلات في التسريبات ، لكن تويتر ليس لديه مكتب صحفي عامل منذ أن استحوذ عليه إيلون ماسك.
تويتر:
تم العثور على 5.4 مليون حساب مستخدم تم الإبلاغ عنها في نوفمبر لتكون هي نفسها تلك التي تم الكشف عنها في أغسطس 2022.
لا يمكن ربط 400 مليون حالة من بيانات المستخدم في الانتهاك المزعوم الثاني بالحادثة التي تم الإبلاغ عنها مسبقًا ، ولا بأي حادثة جديدة.
200 مليون مجموعة بيانات لا يمكن ربطها بالحادث الذي تم الإبلاغ عنه مسبقًا أو أي بيانات ناشئة عن استغلال أنظمة تويتر.
كانت كلتا مجموعتي البيانات متطابقتين ، على الرغم من إزالة الإدخالات المكررة في المجموعة الثانية.
لم تحتوي أي من مجموعات البيانات التي تم تحليلها على كلمات مرور أو معلومات يمكن أن تؤدي إلى اختراق كلمات المرور.
قال ألون غال ، الشريك المؤسس لشركة الأمن السيبراني الإسرائيلية هدسون روك ، في منشور يصف البيانات: “هذه واحدة من أهم التسريبات التي رأيتها”. على ينكدين. “[It] سيؤدي للأسف إلى الكثير من القرصنة والتصيد المستهدف والاستغناء عن المعلومات “. لا تحتوي مجموعات البيانات على كلمات مرور ، كما أشار الخبراء و Twitter ، ولكن يمكن أن تظل عناوين البريد الإلكتروني مفيدة بشكل خاص للمتسللين الذين يستهدفون حسابات محددة.
تختلف تقديرات العدد الدقيق للمستخدمين المتأثرين بالانتهاك ، ويرجع ذلك جزئيًا إلى الميل لمثل هذه التفريغات واسعة النطاق للبيانات لتشمل سجلات مكررة. لقطات من قاعدة البيانات المشتركة بواسطة الكمبيوتر أظهر أنه يحتوي على عدد من الملفات النصية التي تسرد عناوين البريد الإلكتروني وأسماء مستخدمي Twitter المرتبطة بالإضافة إلى الأسماء الحقيقية للمستخدمين (إذا شاركوها مع الموقع) وأعداد المتابعين وتواريخ إنشاء الحساب. الكمبيوتر قالت إنها “أكدت صحة العديد من عناوين البريد الإلكتروني المدرجة في التسريب” وأن قاعدة البيانات تم بيعها في منتدى قرصنة واحد مقابل دولارين فقط.
تروي هانت ، مبتكر موقع تنبيه الأمن السيبراني لقد كنت Pwned، كما حلل الخرق وشارك في استنتاجاته على تويتر: “تم العثور على 211،524،284 عنوان بريد إلكتروني فريدًا ، ويبدو أنه يشبه إلى حد كبير ما تم وصفه به.”
تمت إضافة الخرق الآن إلى أنظمة Have I been Pwned ، مما يعني أي شخص يمكن زيارة الموقع وأدخل عنوان بريدهم الإلكتروني لمعرفة ما إذا كان قد تم تضمينه في قاعدة البيانات.
يبدو أن أصل قاعدة البيانات يعود إلى عام 2021 ، التقارير واشنطن بوست، عندما اكتشف المتسللون ثغرة أمنية في أنظمة أمان Twitter. سمح الخلل للجهات الفاعلة الخبيثة بأتمتة عمليات البحث عن الحسابات – إدخال عناوين البريد الإلكتروني وأرقام الهواتف بشكل جماعي لمعرفة ما إذا كانت مرتبطة بحسابات Twitter.
كشفت Twitter عن هذه الثغرة الأمنية في أغسطس 2022 ، قائلة إنها أصلحت المشكلة في يناير من ذلك العام بعد أن تم الإبلاغ عنها على أنها مكافأة خطأ. ادعت الشركة في ذلك الوقت “أنه ليس لديها دليل يشير إلى أن شخصًا ما قد استغل الثغرة الأمنية” ، لكن خبراء الأمن السيبراني كانوا قد فعلوا ذلك قواعد البيانات المرقطة لأوراق اعتماد تويتر للبيع في يوليو من ذلك العام.
وقالت الشركة أيضًا يوم الأربعاء إن تحقيقاتها أظهرت أن حوالي 5.4 مليون حساب مستخدم قد تم كشفها في نوفمبر. يبدو أن هذه هي مجموعة البيانات الوحيدة التي تنسبها إلى الثغرة القديمة ، والتي مرت دون أن يلاحظها أحد من قبل تويتر لمدة سبعة أشهر تقريبًا.
الاختراق ليس سوى أحدث كارثة للأمن السيبراني تؤثر على موقع تويتر ، الذي كافح منذ فترة طويلة لحماية بيانات مستخدميه. الشركة يجري بالفعل حقق فيها الاتحاد الأوروبي للخرق (بناءً على التقارير الأولى في يوليو 2022) ويجري تم التحقيق فيها من قبل لجنة التجارة الفيدرالية (FTC) عن ثغرات أمنية مماثلة. في آب (أغسطس) الماضي ، قدم رئيس الأمن السابق في Twitter ، الذي تحول إلى المبلغين عن المخالفات على الشركة ، Peiter “Mudge” Zatko ، شكوى إلى الحكومة الأمريكية ادعى فيها أن الشركة كانت تتستر على “أوجه القصور الفادحة” في دفاعاتها المتعلقة بالأمن السيبراني.
تحديث 11 كانون الثاني (يناير) ، 4:05 مساءً بالتوقيت الشرقي: تمت إضافة رد Twitter على الحادثة بدعوى عدم وجود دليل يربط معظم المعرفات المسربة بالبيانات من أنظمتها.