黑客在暗网出售4亿Twitter用户数据

近日,一位名为“Ryushi”的黑客以20万美元的买断价格独家在黑客论坛上出售4亿Twitter用户的公共和私人数据(包括私人电话号码和电子邮件地址),这名黑客声称这些数据是2021年利用一个现已修复的Twitter漏洞抓取的。

这名黑客还警告埃隆·马斯克(Elon Musk)和Twitter,他们应该在欧洲GDPR隐私法开出巨额罚单之前购买这些数据:

“Twitter或Elon Musk,如果你正在阅读这篇文章,要避免像Facebook那样支付2.76亿美元的GDPR违规罚款(因5.33亿用户数据泄露),最好的选择是专门购买这些数据。”

黑客还链接到一个帖子,解释了这些(泄露的Twitter用户)数据如何被其他黑客滥用以进行网络钓鱼攻击、加密诈骗和BEC攻击。

泄露数据的真实性得到初步验证

该论坛帖子提供的数据样本包括37位名人、政治家、记者、公司和政府机构的用户信息,其中包括Alexandria Ocasio-Cortez、唐纳德·特朗普、JR、Mark Cuba、Kevin O’Leary和Piers Morgan。随后,黑客又公布了一个包含1000个Twitter用户个人资料的更大样本。

已泄露的用户个人资料包含公共和私人Twitter用户数据,包括用户的电子邮件地址、姓名、用户名、关注者数量、创建日期和电话号码。尽管所有泄露的个人资料似乎都有与之关联的电子邮件地址,但许多个人资料没有电话号码。

虽然泄露的这些Twitter用户数据大多数都是公开可访问数据,但电话号码和电子邮件地址属于私人信息。

威胁情报公司Hudson Rock的Alon Gal表示,他们独立验证了泄露的Twitter用户数据样本的真实性。

“请注意:在这个阶段,不可能完全验证数据库中确实有4亿名用户,”Hudson Rock发推文说道:“从独立验证来看,数据本身似乎是真实的,我们将跟进事件进展。”

根据BleepingComputer的报道,黑客Ryushi计划以20万美元的价格将Twitter数据独家出售给个人买家或Twitter,然后将删除这些数据。如果没有进行独家购买,黑客将以每次销售6万美元的价格将副本出售给多人。

同一个API漏洞导致多次大规模数据泄露

黑客在帖子中透露利用了Twitter于2022年1月修复的API漏洞抓取了大量用户私人电话号码和电子邮件地址,该漏洞也与此前的540万Twitter用户数据泄露事件有关。

此漏洞允许用户将大量电话号码和电子邮件地址列表输入Twitter API,并接收关联的Twitter用户ID。然后,黑客将此ID与IP一起使用,以检索用户的公共个人资料数据,从而构建由公共和私人数据组成的Twitter用户个人资料。

虽然Twitter在2022年1月修复了该漏洞,但现在已经确认它已被多个黑客用来抓取Twitter用户的私人信息。

4亿用户数据的大规模泄漏对Twitter来说可谓雪上加霜,因为欧盟隐私监管机构爱尔兰数据保护委员会(DPC)刚启动调查2021年利用同一个漏洞泄露的540万条Twitter用户记录。

此外,今年11月安全研究人员Chad Loder曾透露有黑客利用同一个漏洞抓取了1700万Twitter用户的数据,但该数据尚未完成出售。

前一篇谷歌:云计算引爆API安全危机
后一篇企业身份与访问管理难题:工具太多容易“打架”