כשל אבטחה בטוויטר: נחשפה דליפת נתונים חדשה מ-235 מיליון חשבונות

חוקרי הדסון רוק הישראלית גילו באחרונה דליפת נתונים חדשה בטוויטר, שכללה את פרטיהם 235 מיליון משתמשיה, אשר שהגיעו לפורום, שאמנם שאינו נגיש לכולם, אך בהחלט נגיש בקלות לכל האקר.

לפי החוקרים, הדליפה החדשה מאפשרת לגורמים זדוניים לקבל גישה בלתי מוגבלת ל-63 ג'יגה בייט של נתונים, הכוללים מידע אישי של מיליוני המשתמשים ברשת החברתית המצייצת. מדובר במידע מפורט, שיכול לשמש לאחר מכן שחקנים בעלי כוונות רעות על מנת לבצע הונאות שונות ומגוונות.

על פי הדיווחים, אלון גל, המייסד השותף של חברת האבטחה הישראלית, הוא שחשף לראשונה את הדליפה ופנה לרשתות החברתיות כדי להתריע אודותיה בפני הציבור. משתמשים רבים הגיבו בזעם וביקשו מטוויטר לנקוט בפעולה בעניין ולחזק את האבטחה שלה, לנוכח חשש מצידם שהנתונים הללו ישמשו כדי לתקוף את החשבונות שלהם בפלטפורמה, או על מנת לגשת אליהם ולהשתלט עליהם, או לצורך התחזות ולביצוע איומים אחרים באמצעות החשבונות הגנובים. העובדה שהנתונים כוללים שמות משתמש, כתובות מייל, מספר עוקבים ואפילו את תאריך יצירת החשבון בוודאי עלולה לתרום עוד יכולות להאקרים שימשו את ידם על ה"אוצר".

מומחים הצטרפו לדאגות והדגישו את חששם מכך שפושעי סייבר יכולים להשתמש בנתונים אלה כדי לתקוף חשבונות בעלי פרופיל גבוה ומוצפן.

"בסיס הנתונים מכיל 235,000,000 רשומות ייחודיות של משתמשי טוויטר וכתובות האימייל שלהם, ולמרבה הצער יוביל להרבה פריצות, פישינג ממוקד ודוקסינג", כתב גל בלינקדאין.

אלון גל, המייסד השותף של חברת האבטחה הישראלית הדסון רוק. צילום: לכידת מסך מלינקדאין

טוויטר יכולה לעמוד בפני ענישה רגולטורית

יצוין כי הדלפה דומה שפורסמה רק לפני שבוע, בדצמבר האחרון, כללה נתונים של כ-400 מיליון משתמשים, שעבורם ביקשו ההאקרים 200,000 דולר לפני שיפרסמו אותם בחינם.

כעת לא ברור האם הגילוי האחרון של גל והאדסון רוק כולל נתונים חדשים שהתווספו לדליפה הקודמת, או שלמעשה מדובר על אותם הנתונים שפורסמו בחודש שעבר, ושלאחר ביטול הכפילויות הפכו לדטה "מסוננת" של 235 מיליון אנשים כעת. כך או כך, בהתבסס על תאריכי התיקיות המקוריות, המידע הזה נאסף מנובמבר 2021 ועד אמצע דצמבר של אותה שנה.

נכון לעכשיו, טוויטר לא הגיבה או הצהירה כל עמדה מטעמה בעניין, ומן הסתם אפילו אילון מאסק, הבעלים החדש שמרבה לצייץ ושידוע כדעתן דומיננטי במיוחד, לא התייחס לנושא המטריד.

עם זאת, הוועדה האירית להגנה על מידע, ה-DPC, הודיעה כי פתחה בחקירה על הדלפות אלו ולההפרה האפשרית של תקנת הגנת המידע הכללית, ה-GDPR, שנגרמה בפוטנציה עקב הדליפה. אם טוויטר תצא אשמה כי התרשלה בהגנה על פרטי משתמשיה, היא תעמוד בפני סנקציה של האיחוד האירופי של עד 4% מההכנסות השנתיות שלה. אם גם הרגולטורים בארה"ב יכנסו לעובי הקורה בפרשה, אפשר שבסופו של יום יהיה זה קנס כבד בהרבה. בהתחשב בכך שהחברה נמצאת בתקופה פיננסי דחוקה – זה בהחלט כסף שיחסר במאזנה.