Twitter heeft woensdag gezegd dat uit hun onderzoek geen bewijs is gevonden dat de gegevens van gebruikers die online te koop zijn aangeboden, zijn verkregen door het uitbuiten van beveiligingslekken in hun systemen. “Op basis van de informatie en intel die is geanalyseerd tijdens het onderzoek is er geen bewijs dat de data die online wordt verkocht is verkregen door het uitbuiten van een kwetsbaarheid van Twitter-systemen,” zei het bedrijf in een verklaring. “De data is waarschijnlijk een verzameling van data die al openbaar beschikbaar is via verschillende bronnen.”
Dit komt na meerdere rapporten dat Twitter-gegevens van miljoenen gebruikers – 5,4 miljoen in november 2022, 400 miljoen in december 2022, en 200 miljoen vorige week – te koop zijn aangeboden op online criminele forums.
Het sociale media-bedrijf zei verder dat de inbraak “niet kon worden gekoppeld aan de eerder gemelde incidenten, noch aan een nieuw incident”, en dat er geen wachtwoorden zijn blootgelegd. De twee datasets die in december en januari zijn gepubliceerd, zouden identiek zijn, met in de laatste duplicaatgegevens verwijderd.
Twitter erkende in augustus 2022 dat een code-wijziging in juni 2021 een API-bug had geïntroduceerd die gebruikers in staat stelde om Twitter-accounts te koppelen aan een specifiek e-mailadres of telefoonnummer. De fout werd vervolgens uitgebuit om informatie van 5,48 miljoen gebruikersprofielen te verzamelen.
Ryushi, de dreigingsacteur die de datadump in december 2022 aanbood op het Breached-hackforum, beweerde dat de informatie was samengesteld met behulp van de nu opgeloste kwetsbaarheid. Het is momenteel onbekend hoe de dataset is verkregen en of deze is verzameld voordat de kwetsbaarheid in januari 2022 werd opgelost.
De Ierse Data Protection Commission (DPC) kondigde vorige maand aan dat ze een onderzoek doen naar de gegevenslek van 5,4 miljoen Twitter-gebruikers wereldwijd in november, wat volgens Twitter “hetzelfde is als de gegevens die in augustus 2022 zijn blootgelegd”.
Het bedrijf van Elon Musk zei ook dat ze in contact zijn met relevante gegevensbeschermingsautoriteiten om de “vermeende incidenten” te verduidelijken, terwijl ze gebruikers waarschuwen om twee-factor authenticatie (2FA) in te schakelen en op te letten voor mogelijke phishingpogingen. Dit alles toont aan dat er meer aandacht nodig is voor de beveiliging van online gebruikersgegevens en dat bedrijven hun systemen beter moeten beveiligen om potentiële beveiligingsrisico’s op te sporen en op te lossen.
