黑客在暗網出售4億Twitter用戶數據

近日，一位名為“Ryushi”的黑客以20萬美元的買斷價格獨家在黑客論壇上出售4億Twitter用戶的公共和私人數據（包括私人電話號碼和電子郵件地址），這名黑客聲稱這些數據是2021年利用一個現已修復的Twitter漏洞抓取的。

這名黑客還警告埃隆·馬斯克（Elon Musk）和Twitter，他們應該在歐洲GDPR隱私法開出巨額罰單之前購買這些數據：

“Twitter或Elon Musk，如果你正在閱讀這篇文章，要避免像Facebook那樣支付2.76億美元的GDPR違規罰款（因5.33億用戶數據泄露），最好的選擇是專門購買這些數據。”

黑客還鏈接到一個帖子，解釋了這些（泄露的Twitter用戶）數據如何被其他黑客濫用以進行網絡釣魚攻擊、加密詐騙和BEC攻擊。

泄露數據的真實性得到初步驗證

該論壇帖子提供的數據樣本包括37位名人、政治家、記者、公司和政府機構的用戶信息，其中包括Alexandria Ocasio-Cortez、唐納德·特朗普、JR、Mark Cuba、Kevin O'Leary和Piers Morgan。隨后，黑客又公布了一個包含1000個Twitter用戶個人資料的更大樣本。

已泄露的用戶個人資料包含公共和私人Twitter用戶數據，包括用戶的電子郵件地址、姓名、用戶名、關注者數量、創建日期和電話號碼。盡管所有泄露的個人資料似乎都有與之關聯的電子郵件地址，但許多個人資料沒有電話號碼。

雖然泄露的這些Twitter用戶數據大多數都是公開可訪問數據，但電話號碼和電子郵件地址屬于私人信息。

威脅情報公司Hudson Rock的Alon Gal表示，他們獨立驗證了泄露的Twitter用戶數據樣本的真實性。

“請注意：在這個階段，不可能完全驗證數據庫中確實有4億名用戶，”Hudson Rock發推文說道：“從獨立驗證來看，數據本身似乎是真實的，我們將跟進事件進展。”

根據BleepingComputer的報道，黑客Ryushi計劃以20萬美元的價格將Twitter數據獨家出售給個人買家或Twitter，然后將刪除這些數據。如果沒有進行獨家購買，黑客將以每次銷售6萬美元的價格將副本出售給多人。

同一個API漏洞導致多次大規模數據泄露

黑客在帖子中透露利用了Twitter于2022年1月修復的API漏洞抓取了大量用戶私人電話號碼和電子郵件地址，該漏洞也與此前的540萬Twitter用戶數據泄露事件有關。

此漏洞允許用戶將大量電話號碼和電子郵件地址列表輸入Twitter API，并接收關聯的Twitter用戶ID。然后，黑客將此ID與IP一起使用，以檢索用戶的公共個人資料數據，從而構建由公共和私人數據組成的Twitter用戶個人資料。

雖然Twitter在2022年1月修復了該漏洞，但現在已經確認它已被多個黑客用來抓取Twitter用戶的私人信息。

4億用戶數據的大規模泄漏對Twitter來說可謂雪上加霜，因為歐盟隱私監管機構愛爾蘭數據保護委員會（DPC）剛啟動調查2021年利用同一個漏洞泄露的540萬條Twitter用戶記錄。

此外，今年11月安全研究人員Chad Loder曾透露有黑客利用同一個漏洞抓取了1700萬Twitter用戶的數據，但該數據尚未完成出售。