一位名叫“Ryushi”的黑客声称拥有 4 亿 Twitter 用户的数据,并将出售这些数据,除非 Elon Musk 支付赎金。虽然安全公司仍在努力验证数据的真实性,但 Ryushi 要求 Twitter 支付 200,000 美元的赎金以避免泄露。
在一篇论坛帖子中,Ryushi 包含了 37 位名人、政治家、记者、企业和政府机构的样本数据,其中包括 Alexandria Ocasio-Cortez、Donald Trump JR、Mark Cuba、Kevin O’Leary 和 Piers Morgan。此外,后来泄露了包含 1,000 个 Twitter 用户配置文件的更大样本。
用户配置文件包含公共和私人 Twitter 数据,包括用户的电子邮件地址、姓名、用户名、关注者数量、创建日期和电话号码。尽管所有泄露的个人资料似乎都有与之关联的电子邮件地址,但许多人没有电话号码。
Ryushi 还链接到 Archive.org 上的一篇帖子,解释买家如何从被盗数据中获利。他补充说,这些数据可用于网络钓鱼攻击、SIM 交换、加密诈骗、BEC 攻击、网络钓鱼帐户或加密用户等。
所谓的数据转储现在正在 Breached 黑客论坛上出售,该网站通常用于出售在数据泄露中被盗的用户数据。 Ryushi 告诉 BleepingComputer,他希望以 20 万美元的价格将 Twitter 数据独家出售给 Twitter 或一个人,然后删除这些数据。但是,如果不进行独家购买,他将以每笔 60,000 美元的价格向多人出售副本。
Ryushi 还警告 Elon Musk 和 Twitter,他们应该在根据欧洲 GDPR 隐私法导致巨额罚款之前购买这些数据。
Ryushi 在论坛帖子中写道:“Twitter 或 Elon Musk 如果你正在阅读这篇文章,你已经冒着超过 540 万违规的 GDPR 罚款风险,即 4 亿用户违规来源的罚款。” “避免像 Facebook 那样支付 2.76 亿美元的 GDPR 违规罚款(由于 5.33 亿用户被删除)的最佳选择是专门购买这些数据。”
当被问及他们是否联系 Twitter 以勒索数据时,他们告诉 BleepingComputer,他们联系了 Twitter 并拨打了电话,但没有收到回复。
推特 API 漏洞
Ryushi 告诉 BleepingComputer,这些数据是在 2021 年使用现已修复的 API 漏洞抓取的,该漏洞之前与 2021 年的一次单独数据泄露有关。该漏洞允许攻击者或威胁参与者将大量电话号码和电子邮件地址输入到API 并接收关联的 Twitter 用户 ID 作为响应。
“我已经通过用于 5.4m 数据泄漏的相同漏洞获得了访问权限。与它的卖家交谈,他确认它在推特登录流程中,”Ryushi 说。 “因此,在检查重复时,它泄露了我使用另一个 API 转换为用户名和其他信息的用户 ID。”
尽管 Twitter 在 2022 年 1 月修复了该漏洞,但 BleepingComputer 证实该漏洞已被多个威胁行为者用来从 Twitter 用户那里抓取私人信息。
据威胁情报公司 Hudson Rock 的 Alon Gal 称,目前无法完全验证数据库中有 4 亿用户。不过,Hudson Rock 表示,他们已经独立核实泄露的样本似乎是合法的。
“请注意:现阶段无法完全验证数据库中确实有 4 亿用户,”Hudson Rock 发推文说。 “从独立验证来看,数据本身似乎是合法的,我们将跟进任何事态发展。”
在帖子中,威胁者声称数据是由于 Twitter 中的漏洞而在 2022 年初获得的,并试图勒索@ElonMusk 购买数据或面临 GDPR 诉讼。
– 哈德逊岩石 (@RockHudsonRock) 2022 年 12 月 24 日
本文来自互联网,不代表前途科技立场,如若转载,请注明出处:https://accesspath.com/tech/5806210/