Det har dykt upp en allvarlig säkerhetsläcka på tjänsten Twitter/X via deras nya tjänst för video- och telefonsamtal. Vem som helst kan som standard få fatt på ditt IP-nummer, vilket kan avslöja din arbetsplats, din grova geolokalisering eller öppna för direkta attacker, DDOS eller intrångsförsök mot din enhet, brandvägg, arbetsplats eller hem om du är en person av intresse.
Tjänsten för ljud- och videosamtal på Elon Muskovitjs Twitter/X lämnar som standardinställning ut ditt IP-nummer till vem som helst.
De flesta kanske inte bryr sig, men det finns personer som har säkerhetsbehov eller är utsatta, t ex makthavare eller opinionsbildare som är aktiva på Twitter. Eller anonyma konton som bekämpar troll eller uttrycker obekväma åsikter.
Via IP-numret kan man grovt avslöja var en person sitter, åtminstone om de kör wifi eller mer ovanligt trådat nät. Det gör att en persons arbetsplats eller bostadsort kan avslöjas, det senare ibland ner på stadsdelsnivå eller bynivå. Upprepad kartläggning som t ex stadsdel för bostaden och sedan arbetsplatsen kan smalna ner vem som ligger bakom en pseudonym. Är du på tjänsteresa eller semester kanske det går att isolera ner till vilket hotell du befinner dig på, bara som exempel.
IP-numret kan också användas för direkta attacker mot personens mobiltelefon, eller brandvägg. T ex skulle man kunna få reda på vad för IP-nummer en politiker har hem, och därmed kunna påbörja intrångsförsök eller enklare sänka personens Internetförbindelse via DDOS.
Gå in under integritet och säkerhet och sedan direktmeddelanden och stäng av tjänsten helt. Detta behöver eventuellt göras på samtliga enheter du använder Twitter från, t ex både padda och mobiltelefon.
Twitter/X är fullt medvetna om att de lämnar ut IP-numret, så det är uppenbarligen avsiktligt. I nya versioner av appen finns möjligheten att specifikt stänga av att man lämnar ut IP-nummer, men det är inte standardinställningen. Alltså är Twitter/X och Elon Muskovitjs medvetna om det hela, plus att man fortsätter göra det till standard. Det rimliga vore att helt utelämna det till att börja med, så man kan och ska ifrågasätta syftet med detta. Förmodligen för att öppna för angrepp eller kartläggning mot personer som är mot Putin, mot Trump och mot Maga, eller bara är anständiga personer.
Det rimliga hade varit att ta bort IP-numret helt, men Elon Muskovitj vill alltså att det ska lämnas ut. Twitter har förstås redan ditt IP-nummer, likt alla andra tjänster du använder, men varför vill Twitter/X lämna ut det till vem som helst? Det kan för övrigt också anses bryta mot GDPR att publicera detta, då IP-nummer anses vara en personuppgift.
Som för övrigt den pinsamma tyska läckan av ett samtal visar så ska man endast använda klientsidekrypterad video- eller ljudchat via Signal och alla andra system kan anses vara möjliga att avlyssna.
Sprid och förstärk.
63 kommentarer
Rätt svar är: lämna plattformen.
Eller skaffa aldrig ett konto 😉
+1
Efter varje dylik nyhet eller konstigt agerande från ägarskitstöveln så känner man ju samma.
Min tid på tweetern har nog gått ner med 90%
Tack för informationen!!
På öppna nätverk som t.ex. på hotell bör man också använda VPN, även om behovet är mindre nu för tiden än det var när en mycket stor del av trafiken gick i klartext och alltså enkelt kunde avlyssnas av alla inom räckhåll för nätverket man sitter på. Med VPN får man som bonus att ens egen IP-adress döljs (om VPN:et fungerar som det ska).
Jo, jag vet och kör VPN. Men alla gör det inte.
Helt sant att alla inte gör det; antagligen till och med att många inte gör det. 🙂 Men man bör ändå.
Har använt VPN i säkert fem år…
Nog rätt klokt, med en funktions varierad MAC adress som tillägg så kan man nog vara rätt inkognito. Om det nu är känsligt för någon
Mitt liv har blivit så otroligt mycket ljusare sedan jag lämnade den där helveteshålan. Rekommenderar att fler gör det.
Är det bättre i Törnrosdalen?
Snackar du om? Törnrosdalen är ett befriat paradis. Det har även en drake och sjukt coola vaktuniformer. De där duv-fjollorna på andra sidan bergen har inte en chans mot oss.
Känns bra i hjärtat alltså?
Coola uniformer och drake är svårt att toppa. All makt åt Put- f’låt, Tengil, vår befriare!
Skillnaden är att min drake faktiskt fungerar.
Jag ska rösta på Tengil i nästa riksdagsval.
KARMA fallet har tagit alla drakar, jag hoppas på att Karma tar fler 🤗
Funderar på bloggarens rekommendation att “endast använda klientsidekrypterad video- eller ljudchat via Signal”.
Jag säger inte att bloggaren på något sätt har fel i detta, men även Signal har väl direktuppkoppling mellan enheterna i ett samtal som standard (med fallback till att reläa genom deras servrar), men erbjuder möjligheten att ställa in att alla samtal ska reläas genom deras servrar?
Och så sårbarheten. Vad är angreppsvektorn i fallet Twitter? Är det att person A som har ett uppkopplat video-/röstsamtal till person B kan se IP-adressen för B? (Om det är så, så är det väl inte stort annorlunda än Signal?) Eller behövs inte ens det, utan A kan skicka något slags fråga som ger svar på vad B har för IP-adress utan att B märker detta?
Signal kan inte vem som helst kontakta dig på – du måste lämna ut något av det privataste du har, ditt telefonnummer.
På Twitter kan vem som helst med ett klick få fram ditt IP-nr utskrivet i klartext. Och det utan att t ex titta på IP-nivå vart din enhet är uppkopplad, något som du t ex inte kan få fram på iPhone, men förstås via nätverket om du kontrollerar det.
Tips: Ladda ner System Status för iPhone. https://itunes.apple.com/us/app/system-status-cpu-memory-battery-disk-monitor/id401457165?mt=8.
Med den har man bra koll.
Svarade också på X-tråden.
Testade koppla via 4G/5G.
IP 10.5.#.# = en privat IP. (Telia)
IP 10.198.#,# = även denna är privat IP. (Tele2)
10-adresser är troligtvis valda för att inte förvirra (de flesta routrar kör med 192.168-adresser).
Har inte appen alls. Hittar den inte i webbläsaren.
Dito. Ett problem färre.
Inte förvånad. Många har redan lämnat plattformen och nu blir det förhoppningsvis fler. Muskovitj är för övrigt igång igen med sin illa förtäckta propaganda, idag gäller det NATOs existens som naturligtvis måste ifrågasättas. Det tar aldrig slut…
Det är helt otroligt vad han håller på.
Måste finnas videos med onämnbara saker på Musk och, ja använd er fantasi. Eller bättregör inte det.
Synd bara att hans tillgångar i bla Tesla finansierar denna mög.
För Space X bränner pengar fortare än Raptormotorerna bränner LCH4 och LOX.
Så ta dig en funderare om du lämnar en Marabou men kör en Tesla. I synnerhet om du leasar den och därmed kan säga upp avtalet och lämna igen bilen.
Du kan sluta med dina tröttsamma Jante-gliringar.
Tesla och SpaceX är inte svartlistade av Ukraina. Musk äger 13% av Tesla.
Däremot är Geely svarlistade av Ukraina och äger 85% av Volvo Cars.
Jag utgår från att du säger till varenda Volvobilägare att dumpa sin bil för de stöder Ryssland?
Alldeles för många i det här landet som tydligen tycker vi skulle handlat mer med Nazityskland och Sovjetunionen än vad vi var tvungna till. Deras förkärlek till att göra affärer med diktaturer som t.ex. ryzzland och ockuperade fastlands Kina visar det tydligt.
Seriösa företag minimerar idag sina affärer med diktaturer, då världsordningen går mot en stark polarisation mellan demokratier och diktaturer.
Så är det. Jag ser på börsen hur vissa företag som var snabba med att dra sig ur Ryssland -22 straffas för det medan bolag som är kvar hyllas/köps frekvent. Nu sitter jag med ett väldigt litet pensionssparande, men för den skull har jag aktivt valt bort ex kinafonder, bolag som är kvar i Ryssland och så vidare. Jag kanske missar avkastning på dessa val, men jag sover bättre på nätterna. Rent samvete är bästa huvudkudden…
Ang. säkra system finns förutom Signal även Matrix – och (bl.a) den tyska staten använder redan det systemet. Otroligt märkligt att militären fick för sig att använda ett osäkert civilt system istället.
De flesta webläsare har WebRtc på som default och därmed exponeras ip-adressen den vägen.
Vad säger bloggens läsare; vilken VPN-tjänst är bäst (typ avseende prestanda i förhållande pris)?
Jag kör ProtonVPN, finns som gratisvariant. Enda stora begränsningen jämfört med betalversionen är att man inte kan välja så många servrar.
För att veta om en VPN är bra/säker så måste man ju veta vem som äger/driver VPN-tjänsten.
Vem äger/driver ProtonVPN? Ser bara att det verkar vara ett företag i Schweiz.
Drivs av Proton AG som sagt ett schweiziskt företag. De klarade en oberoende revision av Securitum 2020. Men som sagt går ju inte garantera att de kör en no log policy men det har jag varken kompetens eller möjlighet att undersöka som privatperson på något av företagen som erbjuder VPN. Ibland får man helt enkelt leta på folk som är mer kunniga än en själv.
Kör också Proton, betalar dock för tjänsten. Proton Mail kör ju bloggen, och Proton Drive och Proton VPN ingår. Prisvärt.
Mullvad VPN är bäst. Svenskt företag och sparar absolut ingen data från sina användare, vilket många andra gör trots försäkran om att de inte gör det.
Hur vet du att Mullvad inte sparar data från användarna?
Ibland känns det som att säkerhetstänket flyger ut genom fönstret så fort ordet “VPN” finns med i företagsnamnet.
Om man leker med tanken så skulle VPN-företag vara en guldgruva för utländska säkerhetstjänster.
https://www.m3.se/article/1845331/polisen-slog-till-mot-mulvad-vpn.html
Jag frågar igen – hur vet du att Mullvad inte sparar data från användarna?
Att de inte lämnar ut informationen till Polisen är ju ingen garanti att de inte sparar/skickar vidare informationen utomlands.
Du kan läsa på deras webbsida: http://www.mullvad.net
Sen om man väljer att lita på det är upp till var och en.
+1337
Fick en rekommendation från Försvarsmakten cybersäkerhet. De rekommenderar ExpressVPN eller NordVPN. Går att välja hur många regioner som helst!
ExpressVPN. Rimligt prissatt och kan användas på flera enheter samtidigt. Jag använde den när jag bodde i Kina och den klarade nästan alltid att besegra muren, betydligt bättre än andra alternativ.
Mitt abonnemang kan användas på fem enheter samtidigt. Ok pris!
Kör Mullvad VPN tillsammans med Mullvad browser för bästa säkerhet. Browsern är gratis medans VPN kostar 50:- i månaden för 5 enheter.
Hur viktigt vilket VPN man väljer beror lite på vad man vill skydda sig mot. För vår del är en inte oväsentlig del att göra ISP-länken okritisk, inklusive för bakdörrar hos ISP:n.
Ett helt annat problem är att man måste tänka sig för när man sätter upp det hela, eftersom en del spelare försöker lura ens mjukvaran att falla tillbaka till icke-VPN genom att sänka VPN-tjänsterna på ett eller annat sätt. Notera att detta ofta fungerar utmärkt för att lura många enklare VPN-installationer.
För egen del har vi routat hela vårt inre nätverk via VPN, så när VPN-tjänsten försvinner får vi driftavbrott, men vi har också det uppsatt med flera nivåer av egensnickrad övervakning och rotation av VPN-servrar, allt med mycket korta timeouter så användarupplevelsen inte märkbart påverkas. Vi använder mer än en VPN-tjänst, och all mjukvara är Open Source, och olika funktioner går på olika burkar.
Hur är det om man använder TOR, då skall man väl vara helt anonym, eller funkar inte det?
Nja. Vem som helst kan ju sätta upp en ingång eller utgång för Tor, och om jag minns rätt så har underrättelsetjänst gjort detta.
Om man har Icloud+ så kan man slå på private relay.
https://www.macrumors.com/how-to/adjust-icloud-private-relay-settings/#:~:text=1%20Launch%20the%20Settings%20app%20on%20your%20iPhone,%28the%20default%29%20or%20Use%20Country%20and%20Time%20Zone.
Någon som har en bra lista av info att följa på Bluesky? Något som passar i min intressebubbla som stämmer väl överens med LWs.
Finns en lista som heter Cornucopiaföljare…
Google Pixel 8 pro har vpn tunnel som standard. Är det någon som vet om den är bra?
X är ett helvete, men det värsta med det applicerade innan Musk, och går mer under huden än så.
Enligt en äldre, och bland allmänheten utbredd, förståelse skulle man kunna tro att X är bättre än andra sociala medier då den aktivt tussar ihop användare med motsatta åsikter. Detta, kan man tro, luckrar upp s.k. “bubblor”.
Det gör det inte, och anledningen är att man länge missförstod vad bubblor huvudsakligen består av.
Det man trodde var att det är en avsaknad av exponering för andras argument som orsakar bubblan.
Ni vet, som staten gillar att prata om att det skall “informeras” om ditten och datten, ty fel åsikter måste väl rimligen bero på brist på kunskap?
Så KAN det vara, men polarisering av den allvarliga sorten beror på vår socialpsykologi.
Man började alltmer ana det nät empiriska undersökningar och experiment visade att exponering ÖKADE snarare än minskade osämja. Vidare blir de flesta förvånade när de får höra att ståndpunkter i sakfrågor har förändrats mycket lite under de senaste 20 åren – i USA, men det lär generalisera bra.
En uppdaterad förståelse, som undertecknad har lämnat blygsamma bidrag till i egenskap av forskare, vill därför antyda att X bara maximerar konfliktytorna.
En hint ligger i att föreställa sig hur man själv och mottagare vanligen läser i innehåll. Det är sällan en diskussion utan en idelig kamp att dra ned brallorna på varandra.
Varför? Lodar man i det så beror det på att man vill att ens allierade skall se på när man uppvisar dygdigt beteende, och det mest dygdiga är att förnedra den odygdige.
Att erkänna sig ha fel registreras som att man låter sina brallor dras ned, och särskilt om man misstänker att det man svarar på är ett sådant försök, snarare än ett försök till diskussion, så blir det rationellt att försvara sig… och som alltid i vendetta-system tappar vi snart bort totalt vad som var angrepp och vad som var försvar.
Det allra mest rationella är att bara ge fan i det.
Anledningen till att X tussar ihop är dock inte att de gillar affektiv polarisering, utan att konflikt är väldigt mycket mer effektivt för att dra oss tillbaka och hålla oss på plattformen än endräkt och trevlig stämning.
Slutligen, angående Musk och Trump så är jag alltjämt inte övertygad om att den bästa förklaringen är att de gillar Putin.
Jag håller 100% med om att deras handlingar (verbala och konkreta) idag GYNNAR Putin, men det är i alla fall delvis en skillnad, nämligen beträffande hur man möjligen förändrar inställningar.
Om någon är lojal mot Putin så är det rimligt att man ger upp på vederbörande och söker minska dess inflytande helt enkelt.
Om någon däremot snarare under- eller felvärderar Putin, vilket gör att han rangordnas lägre som hot jämfört med andra upplevda hot, så är det rimligt att man försöker påverka.
Här kommer det jag skrev ovanför in: HUR minskar man någons inflytande? Man ger sig in i motstånd mot vederbörande! …jo, men här får man akta sig.
Enligt vår socialpsykologiska logik så är ett angrepp på någon vi beundrar från någon vi inte beundrar inte en anledning att minska vår affektion för denne, utan tvärt om någonting som får oss att sluta leden kring denne.
Vad man givetvis uppnår med angrepp är en ökad prestige bland de redan övertygade… och det kan förvisso leda till galvanisering, men man bör vara medveten om skillnaden. Det är nämligen alltid bättre att utöka de egna leden än att ta risken att säga att “nej, handsken är kastad, nu är det bara att mobilisera och hoppas på det bästa!” Den tiden kan komma, men jag är inte alls säker på att den rent generellt är inne.
Det är därför viktigt att försöka se skillnad mellan nyttiga idioter och faktiska allierade till Putin. Nyttiga idioter kan omvändas, men de som är allierade är så hopplösa att man lika gärna kan ge upp.
Min egen strategi är därför att vid tecken på att kompassen är dåligt inställd ge mig in i diskussion med så få moraliska övertoner som möjligt. Trollen känner man rätt lätt igen, och de kan man avreagera sig på så mycket man önskar.
Jag kan ha fel, såklart, men jag har hittills bara hört argument som bygger på vem som tjänar på vad de gör (i Trumps fall boostat med en del utelämnande av diverse som inte har varit i Rysslands intresse alls). Trump är givetvis extremt uppladdad med affektiv polarisering och han använder själv sådan som strategi.
Min analys är dock att Trump främst ser Ryssland som lite perifert och underordnat sina huvudmotståndare, och att konflikten erbjuder någonting att reta upp dem med. Jag tror dock inte att han skulle göra Putin några som helst tjänster för sakens skull.
Mitt förslag här är: Varför inte hänvisa till Javier Milei? De avgudar honom och han är stenhård supporter av Ukraina. Det är en instans de inte kan avfärda utan att samtidigt åsamka sig en massa annan kognitiv och psykisk smärta.
Elon Musk lever i en annan sorts bubbla, nämligen den som byggs kring personer som inte behöver lyssna på någon annan. Där hittar han på än det ena och än det andra. Somt är klokt, annat är dåraktigt. Vad jag vet sedan tidigare är att Musk är livrädd för existentiella hot och därför är det troligaste att han är känslig för rysk påverkan den vägen. De har säkert skrämt upp honom med att de kontemplaterar att skicka iväg sina påstådda kärnvapen – och Musk tror säkert att han har kommit över värdefull insiderinfo därmed. De är ju inte helt dåliga på sådant.
Tack för intressant kommentar!
Lät väldigt klokt, jag skummade mest. Men det låter som om har rätt bra koll, kanske är du psykolog eller någon slags filosof.
Lycka är jävligt överskattat, man får nöjd om man får vara lite glad ibland 🙂
Tack för att du tog dig tid att skriva så utförligt. Uppskattas mycket!
Är redan X-twitter sedan länge.
Gäller ju endast appen.
Man *skall* räkna med att all internetaktivitet man ägnar sig åt läcker ut som ett såll bland DNS-servrar, AI-insamlingsverktyg, bottar etc. Även inkluderande den tjänst som förser användare här med små avatarer.
Alla “kontrollpaneler” med switchar där man slår av eller nekar insamling av data genom oavsett vilken metod anser jag värdelösa och utan sladdar bakom frontpanelen…
Nu gäller det knappast här (…eller…?) men en artikel i en IT-tidning för några år sedan redovisade att de VPN-tjänster som kunde användas av kineser i själva verket var konstruerade och visade sig tillhandahölls av kinesiska företag…
Hittade “Utökad samtalsintegritet” som inställning.
“Aktivera denna inställning för att undvika att avslöja din IP-adress för din kontakt under samtalet.”
Naturligtvis ej vald som default… är osäker på om Musk är skyldig här eller om det är något som funnits tidigare.
Men WTF! Går inte att spara den aktiverad.
Försök nr 2… Då sparas det.