يُظهر خرق بيانات تويتر أن واجهات برمجة التطبيقات هي منجم ذهب لمعلومات التعريف الشخصية والهندسة الاجتماعية
تحقق من جميع الجلسات عند الطلب لقمة Smart Security من هنا .
عادت ثغرة Twitter API التي تم إرسالها في يونيو 2021 (تم تصحيحها لاحقًا) لتطارد المنظمة. في ديسمبر ، ادعى أحد المتسللين أنه عرض البيانات الشخصية لـ400 مليون مستخدم على الويب المظلم للبيع ، وأصدر المهاجمون بالأمس فقط تفاصيل الحساب وعناوين البريد الإلكتروني مجانًا. 235 مليون مستخدم.
تتضمن المعلومات التي تم الكشف عنها كجزء من الخرق أسماء الحسابات وتسجيلات الدخول وتاريخ الإنشاء وعدد المشتركين وعناوين البريد الإلكتروني للمستخدمين. بمجرد الجمع بين الجهات الفاعلة في التهديد ، يمكن للجهات الفاعلة في مجال التهديد إنشاء حملات هندسة اجتماعية لخداع المستخدمين لتسليم بياناتهم الشخصية.
في حين أن المعلومات التي تم الكشف عنها كانت مقصورة على معلومات المستخدم المتاحة للجمهور ، فإن الحجم الكبير من الحسابات المكشوفة في مكان واحد يوفر للجهات الفاعلة في التهديد ثروة من المعلومات التي يمكنهم استخدامها لتنظيم الهجمات.
يقدم عمالقة وسائل التواصل الاجتماعي لمجرمي الإنترنت ثروة من المعلومات التي يمكنهم استخدامها لإجراء عمليات الاحتيال المتعلقة بالهندسة الاجتماعية.
حدثقمة الأمان الذكي عند الطلب
تعرف على الدور الأساسي للذكاء الاصطناعي والتعلم الآلي في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم. انظر هنا
من خلال الاسم وعنوان البريد الإلكتروني والمعلومات الخلفية المأخوذة من الملف الشخصي العام للمستخدم ، يمكن للمتسلل إجراء استطلاع على الهدف وتطوير عمليات احتيال مصممة خصيصًا وحملات تصيد لخداعهم للكشف عن المعلومات الشخصية.
قال ميكلوس زولتان ، الباحث الأمني لقضايا الخصوصية: "هذا التسريب ينشر بشكل أساسي عناوين البريد الإلكتروني الشخصية للمستخدمين رفيعي المستوى (ولكن أيضًا المستخدمين العاديين) ، والتي يمكن استخدامها لمضايقة البريد العشوائي وحتى محاولة اختراق هذه الحسابات" . "يمكن إغراق المستخدمين ذوي الأرباح المرتفعة بالرسائل غير المرغوب فيها ومحاولات التصيد على نطاق واسع."
لهذا السبب ، توصي Zoltan المستخدمين بإنشاء كلمات مرور مختلفة لكل موقع يستخدمونه لتقليل مخاطر محاولات الاستيلاء على الحساب.
تزود واجهات برمجة التطبيقات غير الآمنة مجرمي الإنترنت بخط مباشر للوصول إلى معلومات التعريف الشخصية للمستخدم (PII) وأسماء المستخدمين وكلمات المرور ، والتي يتم التقاطها عندما يسجل العميل الدخول إلى واجهة برمجة التطبيقات لخدمة جهة خارجية. وبالتالي ، فإن هجمات API توفر للمهاجمين نافذة لجمع البيانات الشخصية بكميات كبيرة لعمليات الاحتيال.
حدث ذلك قبل شهر واحد فقط عندما نجح أحد المتسللين في التقدم بطلب إلى خدمة مشاركة المعلومات الاستخباراتية InfraGuard التابعة لمكتب التحقيقات الفيدرالي واستخدم ثغرة في واجهة برمجة التطبيقات لجمع بيانات 80.000 من المديرين التنفيذيين في الصناعة بشكل خاص وعرضها للبيع على شبكة الإنترنت المظلمة.
تضمنت المعلومات التي تم جمعها أثناء الحادث بيانات مثل أسماء المستخدمين وعناوين البريد الإلكتروني وأرقام الضمان الاجتماعي وتواريخ الميلاد ؛ جميع المعلومات القيمة جدًا لتطوير عمليات الاحتيال في الهندسة الاجتماعية وهجمات التصيد بالرمح.
لسوء الحظ ، يبدو أن هذا الاتجاه لاستغلال واجهة برمجة التطبيقات سيزداد سوءًا مع
تحقق من جميع الجلسات عند الطلب لقمة Smart Security من هنا .
عادت ثغرة Twitter API التي تم إرسالها في يونيو 2021 (تم تصحيحها لاحقًا) لتطارد المنظمة. في ديسمبر ، ادعى أحد المتسللين أنه عرض البيانات الشخصية لـ400 مليون مستخدم على الويب المظلم للبيع ، وأصدر المهاجمون بالأمس فقط تفاصيل الحساب وعناوين البريد الإلكتروني مجانًا. 235 مليون مستخدم.
تتضمن المعلومات التي تم الكشف عنها كجزء من الخرق أسماء الحسابات وتسجيلات الدخول وتاريخ الإنشاء وعدد المشتركين وعناوين البريد الإلكتروني للمستخدمين. بمجرد الجمع بين الجهات الفاعلة في التهديد ، يمكن للجهات الفاعلة في مجال التهديد إنشاء حملات هندسة اجتماعية لخداع المستخدمين لتسليم بياناتهم الشخصية.
في حين أن المعلومات التي تم الكشف عنها كانت مقصورة على معلومات المستخدم المتاحة للجمهور ، فإن الحجم الكبير من الحسابات المكشوفة في مكان واحد يوفر للجهات الفاعلة في التهديد ثروة من المعلومات التي يمكنهم استخدامها لتنظيم الهجمات.
يقدم عمالقة وسائل التواصل الاجتماعي لمجرمي الإنترنت ثروة من المعلومات التي يمكنهم استخدامها لإجراء عمليات الاحتيال المتعلقة بالهندسة الاجتماعية.
حدثقمة الأمان الذكي عند الطلب
تعرف على الدور الأساسي للذكاء الاصطناعي والتعلم الآلي في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم. انظر هنا
من خلال الاسم وعنوان البريد الإلكتروني والمعلومات الخلفية المأخوذة من الملف الشخصي العام للمستخدم ، يمكن للمتسلل إجراء استطلاع على الهدف وتطوير عمليات احتيال مصممة خصيصًا وحملات تصيد لخداعهم للكشف عن المعلومات الشخصية.
قال ميكلوس زولتان ، الباحث الأمني لقضايا الخصوصية: "هذا التسريب ينشر بشكل أساسي عناوين البريد الإلكتروني الشخصية للمستخدمين رفيعي المستوى (ولكن أيضًا المستخدمين العاديين) ، والتي يمكن استخدامها لمضايقة البريد العشوائي وحتى محاولة اختراق هذه الحسابات" . "يمكن إغراق المستخدمين ذوي الأرباح المرتفعة بالرسائل غير المرغوب فيها ومحاولات التصيد على نطاق واسع."
لهذا السبب ، توصي Zoltan المستخدمين بإنشاء كلمات مرور مختلفة لكل موقع يستخدمونه لتقليل مخاطر محاولات الاستيلاء على الحساب.
تزود واجهات برمجة التطبيقات غير الآمنة مجرمي الإنترنت بخط مباشر للوصول إلى معلومات التعريف الشخصية للمستخدم (PII) وأسماء المستخدمين وكلمات المرور ، والتي يتم التقاطها عندما يسجل العميل الدخول إلى واجهة برمجة التطبيقات لخدمة جهة خارجية. وبالتالي ، فإن هجمات API توفر للمهاجمين نافذة لجمع البيانات الشخصية بكميات كبيرة لعمليات الاحتيال.
حدث ذلك قبل شهر واحد فقط عندما نجح أحد المتسللين في التقدم بطلب إلى خدمة مشاركة المعلومات الاستخباراتية InfraGuard التابعة لمكتب التحقيقات الفيدرالي واستخدم ثغرة في واجهة برمجة التطبيقات لجمع بيانات 80.000 من المديرين التنفيذيين في الصناعة بشكل خاص وعرضها للبيع على شبكة الإنترنت المظلمة.
تضمنت المعلومات التي تم جمعها أثناء الحادث بيانات مثل أسماء المستخدمين وعناوين البريد الإلكتروني وأرقام الضمان الاجتماعي وتواريخ الميلاد ؛ جميع المعلومات القيمة جدًا لتطوير عمليات الاحتيال في الهندسة الاجتماعية وهجمات التصيد بالرمح.
لسوء الحظ ، يبدو أن هذا الاتجاه لاستغلال واجهة برمجة التطبيقات سيزداد سوءًا مع
What's Your Reaction?
