黑客在暗网出售4亿Twitter用户数据

admin 2022年12月28日15:04:35评论43 views字数 1449阅读4分49秒阅读模式

关注我们

带你读懂网络安全


近日,一位名为“Ryushi”的黑客以20万美元的买断价格独家在黑客论坛上出售4亿Twitter用户的公共和私人数据(包括私人电话号码和电子邮件地址),这名黑客声称这些数据是2021年利用一个现已修复的Twitter漏洞抓取的。

黑客在暗网出售4亿Twitter用户数据


这名黑客还警告埃隆·马斯克(Elon Musk)和Twitter,他们应该在欧洲GDPR隐私法开出巨额罚单之前购买这些数据:


“Twitter或Elon Musk,如果你正在阅读这篇文章,要避免像Facebook那样支付2.76亿美元的GDPR违规罚款(因5.33亿用户数据泄露),最好的选择是专门购买这些数据。”


黑客在暗网出售4亿Twitter用户数据


黑客还链接到一个帖子,解释了这些(泄露的Twitter用户)数据如何被其他黑客滥用以进行网络钓鱼攻击、加密诈骗和BEC攻击。


泄露数据

的真实性得到初步验证


该论坛帖子提供的数据样本包括37位名人、政治家、记者、公司和政府机构的用户信息,其中包括Alexandria Ocasio-Cortez、唐纳德·特朗普、JR、Mark Cuba、Kevin O'Leary和Piers Morgan。随后,黑客又公布了一个包含1000个Twitter用户个人资料的更大样本。


已泄露的用户个人资料包含公共和私人Twitter用户数据,包括用户的电子邮件地址、姓名、用户名、关注者数量、创建日期和电话号码。尽管所有泄露的个人资料似乎都有与之关联的电子邮件地址,但许多个人资料没有电话号码。


虽然泄露的这些Twitter用户数据大多数都是公开可访问数据,但电话号码和电子邮件地址属于私人信息。


威胁情报公司Hudson Rock的Alon Gal表示,他们独立验证了泄露的Twitter用户数据样本的真实性。


“请注意:在这个阶段,不可能完全验证数据库中确实有4亿名用户,”Hudson Rock发推文说道:“从独立验证来看,数据本身似乎是真实的,我们将跟进事件进展。”


根据BleepingComputer的报道,黑客Ryushi计划以20万美元的价格将Twitter数据独家出售给个人买家或Twitter,然后将删除这些数据。如果没有进行独家购买,黑客将以每次销售6万美元的价格将副本出售给多人。


同一个API漏洞

导致多次大规模数据泄露


黑客在帖子中透露利用了Twitter于2022年1月修复的API漏洞抓取了大量用户私人电话号码和电子邮件地址,该漏洞也与此前的540万Twitter用户数据泄露事件有关。


此漏洞允许用户将大量电话号码和电子邮件地址列表输入Twitter API,并接收关联的Twitter用户ID。然后,黑客将此ID与IP一起使用,以检索用户的公共个人资料数据,从而构建由公共和私人数据组成的Twitter用户个人资料。


虽然Twitter在2022年1月修复了该漏洞,但现在已经确认它已被多个黑客用来抓取Twitter用户的私人信息。


4亿用户数据的大规模泄漏对Twitter来说可谓雪上加霜,因为欧盟隐私监管机构爱尔兰数据保护委员会(DPC)刚启动调查2021年利用同一个漏洞泄露的540万条Twitter用户记录。


此外,今年11月安全研究人员Chad Loder曾透露有黑客利用同一个漏洞抓取了1700万Twitter用户的数据,但该数据尚未完成出售。



推荐阅读




文章来源:GoUpSec


点击下方卡片关注我们,
带你一起读懂网络安全 ↓


原文始发于微信公众号(安全内参):黑客在暗网出售4亿Twitter用户数据

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月28日15:04:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客在暗网出售4亿Twitter用户数据http://cn-sec.com/archives/1483376.html

发表评论

匿名网友 填写信息