黑客勒索推特，將出售4億用戶數據

黑客以20萬美元的價格出售4億推特用戶數據。

近日，有名為Ryushi的黑客在論壇以20萬美元的價格出售4億推特用戶數據，包含公開和隱私數據。黑客稱這些數據是通過推特的一個API漏洞來獲取的。

黑客向馬斯克和推特勒索，稱其應該在歐盟GDPR罰款之前購買這些數據。因為之前Facebook 5.33億用戶數據泄露被GDPR法律罰款，因此黑客向推特勒索2.76億美元的贖金。

圖 黑客在論壇出售4億推特用戶數據

黑客解釋了這些數據的潛在用途，攻擊者利用這些數據可以實現釣魚攻擊、加密貨幣垃圾郵件、BEC攻擊等。

黑客還發布了樣本數據，其中包含37個名人、政客、記者、政府機構的數據，包括美國議員Alexandria Ocasio-Cortez、美國前總統特朗普、美國最知名投資人馬克庫班（Mark Cuban）、Kevin O'Leary、主持人皮爾斯·摩根。此外，還有1000個推特用戶簡介信息泄露。

用戶信息中既包括公開和隱私的推特用戶數據，包括用戶郵件地址、姓名、用戶名、關注者數量、創建日期、手機號碼。泄露的用戶簡介信息中都關聯了郵箱地址，但許多賬戶并沒有手機號。

雖然泄露的用戶數據都是公開可訪問的，但手機號和郵箱地址屬于隱私信息。

 Ryushi稱其計劃將這4億用戶數據以20萬美元的價格排外地出售給一個人或推特，然后將刪除這些數據。如果出售不成功，將以6萬美元的價格出售給多個用戶。在問及是否聯系推特支付贖金時，Ryushi稱其已經聯系了推特，但尚未得到回復。

攻擊者稱這些數據是通過一個推特 API 漏洞來收集的。該漏洞允許用戶向推特API輸入手機號碼和郵箱地址，就可以獲得對應的推特用戶id。然后攻擊者利用該id和IP來獲取用戶的公開個人簡介數據，將推特用戶的公開數據和隱私數據關聯在一起。

推特已于2022年1月修復了該漏洞。但之前已有多名黑客利用該漏洞抓取了推特用戶數據，其中有黑客出售了超過540萬用戶數據。

威脅情報公司Hudson Rock的研究人員Alon Gal驗證了泄露的樣本數據，并確認了樣本數據的真實性。但稱目前還無法完全確定數據庫中4億用戶數據的真實性。

此前推特已確認了API漏洞問題。但截止目前，推特未對本次數據泄露事件進行回應。