No Comments

Massives Twitter-Datenleck von EU-Datenschutzbehörde untersucht

 

Die irische Datenschutzkommission (DPC) hat nach den Nachrichtenberichten des letzten Monats über ein massives Twitter-Datenleck eine Untersuchung eingeleitet.

Dieses Leck betraf über 5,4 Millionen Twitter-Nutzer und umfasste sowohl von der Website abgekratzte öffentliche Informationen als auch private Telefonnummern und E-Mail-Adressen. Die Daten wurden durch die Ausnutzung einer API-Schwachstelle erhalten, die Twitter im Januar behoben hatte.

In einer Erklärung vom Freitag sagte die irische Datenschutzbehörde: „Die DPC korrespondierte mit Twitter International Unlimited Company (‚TIC‘) in Bezug auf eine gemeldete Verletzung des Schutzes personenbezogener Daten, von der TIC behauptet, die Schwachstelle der Quelle zu sein, die zum Generieren der Datensätze und gestellten Anfragen verwendet wurde in Bezug auf die Einhaltung der DSGVO.“

Es fügte auch hinzu, dass es der Ansicht sei, dass „eine oder mehrere Bestimmungen der DSGVO und/oder des Gesetzes in Bezug auf die personenbezogenen Daten von Twitter-Nutzern möglicherweise verletzt wurden und/oder werden“.

Das DPC, das als führender EU-Wachhund von Twitter fungiert, will feststellen, ob der Social-Media-Gigant seinen Verpflichtungen als Datenverantwortlicher in Bezug auf die Verarbeitung von Benutzerdaten nachgekommen ist und ob er gegen Bestimmungen der Datenschutz-Grundverordnung (EU-DSGVO) verstoßen hat. oder dem Datenschutzgesetz 2018.

Vor zwei Jahren verhängte das DPC eine Geldstrafe von 450.000 € gegen Twitter, weil es das DPC nicht innerhalb des von der DSGVO vorgeschriebenen 72-Stunden-Zeitraums über einen Verstoß informiert und den Verstoß unzureichend dokumentiert hatte.

Im November 2021 verhängte die DPC außerdem eine Geldstrafe von €265 Millionen gegen Meta wegen eines großen Datenlecks auf Facebook, das die persönlichen Daten von Hunderten Millionen Nutzern weltweit preisgab.

Die Facebook-Benutzerdaten wurden auch in einem bekannten Hacking-Forum geteilt, sodass Angreifer sie für gezielte Angriffe verwenden konnten.

Gestohlene Twitter-Nutzerdaten stehen seit Juli zum Verkauf

Im Juli 2022 wurden die privaten Informationen von mehr als 5,4 Millionen Twitter-Nutzern in einem Hacking-Forum für 30.000 $ zum Verkauf angeboten.

Während die meisten Daten wie Twitter-IDs, Namen, Login-Namen, Standorte und verifizierter Status öffentlich zugänglich waren, enthielt die durchgesickerte Datenbank auch nicht-öffentliche Informationen wie E-Mail-Adressen und Telefonnummern.

Diese Daten wurden im Dezember 2021 über eine Twitter-API-Schwachstelle gesammelt, die durch das HackerOne-Bug-Bounty-Programm offengelegt wurde, das es jedem ermöglichte, Telefonnummern oder E-Mail-Adressen in die API einzureichen, um sie mit der zugehörigen Twitter-ID zu verknüpfen.

Nachdem BleepingComputer eine Probe der gestohlenen Benutzerdatensätze mit Twitter geteilt hatte, bestätigte das Unternehmen, dass es eine Datenpanne im Zusammenhang mit Angreifern erlebt hatte, die diesen API-Fehler verwendeten, der im Januar 2022 behoben wurde.

BleepingComputer stellte fest, dass der Fehler von Pompompurin, dem Eigentümer des Breached-Hacking-Forums, ausgenutzt wurde, der auch die Informationen von weiteren 1,4 Millionen gesperrten Twitter-Benutzern mit einer anderen API sammelte. Damit stieg die Gesamtzahl der Twitter-Profile, die nach privaten Informationen durchforstet wurden, auf fast 7 Millionen.

Im September und November wurde dieselbe Datenbank mit 5.485.635 Twitter-Benutzerdatensätzen auch kostenlos in einem Hacking-Forum geteilt.

Die Aufzeichnungen enthalten eine Fülle öffentlicher und privater Benutzerdaten, einschließlich persönlicher E-Mail-Adressen oder Telefonnummern, sowie öffentlich gekratzte Daten wie Twitter-ID, Name, Bildschirmname, verifizierter Status, Standort, URL, Beschreibung, Anzahl der Follower, Erstellungsdatum des Kontos, Anzahl der Freunde, Anzahl der Favoriten, Anzahl der Status und Profilbild-URLs.


Verschrottete Twitter-Daten zum Verkauf (BleepingComputer)

Hallo, heute präsentiere ich Ihnen Daten, die von mehreren Benutzern gesammelt wurden, die Twitter über eine Schwachstelle verwenden. (5485636 Benutzer um genau zu sein) Diese Benutzer reichen von Prominenten über Unternehmen, Randoms, OGs usw. Die gesammelten Daten reichen von E-Mail- und Telefonnummern bis hin zu all diesen Konten. Beispiel: Informationen verwischen  – Bild übersetzt

Daten von Millionen anderer Benutzer wurden ebenfalls gestohlen

Sicherheitsexperte Chad Loder enthüllte auch auf Twitter und Mastodon Details über einen noch größeren Datenspeicher, der möglicherweise Millionen von Twitter-Datensätzen mit persönlichen Telefonnummern enthält, die mithilfe eines zuvor behobenen API-Fehlers gesammelt wurden, und einige öffentlich verfügbare Informationen, wie z. B. verifizierter Status, Kontonamen, Twitter-ID, Bio und Bildschirmname.

„Ich habe gerade Beweise für eine massive Twitter-Datenpanne erhalten, die Millionen von Twitter-Konten in der EU und den USA betrifft“, sagte Loder.

„Ich habe eine Stichprobe der betroffenen Konten kontaktiert und sie haben bestätigt, dass die verletzten Daten korrekt sind. Dieser Verstoß ereignete sich nicht vor 2021.“

BleepingComputer hat mit mehreren betroffenen Benutzern überprüft, dass die Telefonnummern in dieser Datenschutzverletzung gültig sind.

Es ist erwähnenswert, dass keine der Telefonnummern in dieser durchgesickerten Datenbank in den im August 2002 verkauften Originaldaten vorhanden war, was den erheblichen Austausch von Twitter-Benutzerdaten zwischen Angreifern und das Ausmaß der Datenpanne über das hinaus zeigt, was bisher bekannt war.


Informationen zu einem größeren Twitter-Datenleck, das auf Mastodon geteilt wurde (Bleeping Computer)

Die massive Twitter-Datenpanne ist real. Hier ein kleines Beweisangebot. Im Datensatz befinden sich Daten aus ganzen Ländern.  – Bild übersetzt

 

Uns wurde auch gesagt, dass die zweite durchgesickerte Datenbank mehr als 17 Millionen Datensätze enthält, obwohl diese Informationen nicht unabhängig bestätigt wurden.

BleepingComputer hat Twitter wegen dieses zusätzlichen Datendumps privater Benutzerinformationen kontaktiert, aber noch keine Antwort erhalten.

 


Quelle: BleepingComputer,

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.