[English]Twitter hat gerade einen Datenschutzvorfall bestätigt, der auf eine im Januar 2022 gemeldete Schwachstelle zurückgeht. Im Juli 2022 wurde bekannt, dass jemand über diese Schwachstelle persönliche Daten von Twitter-Nutzern abgezogen hat. Hier ein paar Informationen zu diesem Vorfall.
Anzeige
Catalin Cimpanu weist in nachfolgendem Tweet auf den Datenschutzvorfall beim Twitter hin, den das Unternehmen hier offen legt.
Eine Sicherheitslücke ermöglichte es Dritten, eine Telefonnummer oder eine E-Mail-Adresse in einem Log Fluss einzugeben, um herauszufinden, ob diese Informationen mit einem bestehenden Twitter-Konto verknüpft sind. Falls zutreffend, konnte auch das Konto ermittelt werden. Dieser Fehler entstand durch eine Aktualisierung des Twitter Codes im Juni 2021.
Im Januar 2022 erhielt Twitter über das Bug Bounty-Programm einen Bericht über diese Sicherheitslücke. Übermittelte jemand eine E-Mail-Adresse oder eine Telefonnummer an Twitter, legte dieses offen, mit welchem Twitter-Account die übermittelten E-Mail-Adressen oder Telefonnummern verbunden waren. Als die Twitter-Leute vom Bug erfuhren, wurde der sofort untersucht und behoben. Zu diesem Zeitpunkt gab es keine Anhaltspunkte dafür, dass jemand die Sicherheitslücke ausgenutzt hatte.
Im Juli 2022 erfuhren die Twitter-Leute durch einen Pressebericht, dass jemand diese Schwachstelle möglicherweise ausgenutzt hatte und anbot, die von ihm gesammelten Informationen zu verkaufen. Eine Stichprobe der zum Verkauf stehenden Daten bestätigte, dass ein böser Akteur das Problem vor dem Fix ausgenutzt hatte.
Anzeige
Twitter will die betroffenen Kontoinhaber direkt benachrichtigen. Es ist aber unklar, ob alle potenziell betroffenen Konten ermittelt und deren Besitzer informiert werden können. Twitter will besonders auf Personen mit pseudonymen Konten achten, die ins Visier von staatlichen oder anderen Akteuren geraten können. Es gilt die Empfehlung, keine öffentlich bekannte Telefonnummer oder E-Mail-Adresse zum Twitter-Konto hinzuzufügen.
Anzeige
Laut bleepingcomputer geht es um immerhin 5,4 Millionen User
https://www.bleepingcomputer.com/news/security/twitter-confirms-zero-day-used-to-expose-data-of-54-million-accounts/
"soziale Medien" und Datenschutz passt doch nicht wirklich zusammen oder gibt's was neues.
Gebt Firmen eure Handynummer! Was soll schon groß schiefge—