Ένας χάκερ ισχυρίζεται ότι πουλάει δημόσια και ιδιωτικά data 400 εκατομμυρίων χρηστών του Twitter, τα οποία συλλέχθηκαν το 2021 χρησιμοποιώντας μια ευπάθεια API που έχει πλέον επιδιορθωθεί. Το ποσό που ζητάει για την αποκλειστική πώληση είναι 200.000 δολάρια.
Στο hacking φόρουμ «Breached», όπου χρησιμοποιείται συχνά για την πώληση δεδομένων χρηστών (user data) που έχουν αποκτηθεί μέσω παραβιάσεων, ο απειλητικός παράγοντας με το όνομα “Ryushi” φέρεται να πουλάει τα υποτιθέμενα κλεμμένα data. Ο απειλητικός παράγοντας ισχυρίστηκε ότι συνέλεξε τα δεδομένα 400 εκατομμυρίων μοναδικών χρηστών του Twitter χρησιμοποιώντας μια ευπάθεια.
Οι χάκερ προειδοποίησαν τον Elon Musk και το Twitter ότι αν δεν αγοράσουν τα δεδομένα σύντομα, αυτό θα μπορούσε να οδηγήσει σε ένα βαρύ πρόστιμο λόγω της ευρωπαϊκής νομοθεσίας GDPR για την προστασία της ιδιωτικής ζωής.
Ο Ryushi δήλωσε στην ανάρτηση στο forum απευθυνόμενοες στους Elon Musk και Twitter: “Η αποκλειστική αγορά αυτών των δεδομένων είναι η καλύτερη επιλογή σας αν θέλετε να αποφύγετε να πληρώσετε 276 εκατομμύρια δολάρια σε πρόστιμα παραβίασης GDPR, όπως έκανε το Facebook (λόγω scraping 533 εκατομμυρίων χρηστών).”
Μέσα στην ανάρτηση που έκανε, ο Ryushi συμπεριέλαβε ένα link μιας άλλης δημοσίευσης που περιγράφει τους τρόπους με τους οποίους άλλοι «χάκερ» θα μπορούσαν να χρησιμοποιήσουν αυτές τις πληροφορίες για επιθέσεις BEC, κρυπτο-απάτες και phishing. Στην ανάρτηση περιλαμβάνονται επίσης δείγματα δεδομένων για 37 διασημότητες, πολιτικούς, δημοσιογράφους, επιχειρήσεις και κυβερνητικούς οργανισμούς.
Στα άτομα αυτά περιλαμβάνονται η Alexandria Ocasio-Cortez, ο Donald Trump Jr., ο Mark Cuba, ο Kevin O’Leary και ο Piers Morgan.
Στα προφίλ των χρηστών φαίνονται οι διευθύνσεις e-mail, τα ονόματα, τα usernames, ο αριθμός των followers, η ημερομηνία δημιουργίας λογαριασμού και άλλα δημόσια και ιδιωτικά data του Twitter.
Αν και φαίνεται ότι όλα τα εκτεθειμένα προφίλ έχουν διευθύνσεις e-mail, πολλά από αυτά δεν έχουν δηλώσει τηλεφωνικό αριθμό.
Παρόλο που σχεδόν όλες αυτές οι πληροφορίες είναι δημόσια διαθέσιμες σε κάθε χρήστη του Twitter, οι αριθμοί τηλεφώνου και οι διευθύνσεις e-mail θεωρούνται ιδιωτικές πληροφορίες.
Ο Ryushi δήλωσε στο BleepingComputer ότι προσπαθεί να πουλήσει τα δεδομένα αποκλειστικά στο ίδιο το Τwitter για 200.000 δολάρια και στη συνέχεια να διαγράψει τα κλεμμένα data. Στην περίπτωση όμως που δεν πραγματοποιηθεί αποκλειστική αγορά, θα πουλήσουν αντίγραφα για 60.000 δολάρια το καθένα σε πολλαπλούς αγοραστές.
Όταν ρωτήθηκαν αν επικοινώνησαν με το Twitter για να ζητήσουν λύτρα, παραδέχτηκαν ότι το έκαναν αλλά δεν έλαβαν καμία απάντηση.
Ο απειλητικός παράγοντας επιβεβαίωσε στο BleepingComputer ότι συνέλεξε τους ιδιωτικούς αριθμούς τηλεφώνου και τις διευθύνσεις email χρησιμοποιώντας μια ευπάθεια API που διόρθωσε το Twitter τον Ιανουάριο του 2022 και είχε συνδεθεί στο παρελθόν με την παραβίαση δεδομένων 5,4 εκατομμυρίων χρηστών.
Ενώ το Twitter διόρθωσε την ευπάθεια τον Ιανουάριο του 2022, έχει πλέον επιβεβαιωθεί ότι χρησιμοποιήθηκε από πολλούς χάκερ οι οποίοι κατάφεραν να κλέψουν διάφορα δεδομένα από χρήστες του Twitter.
Αυτή η διαρροή ήρθε την πιο ακατάλληλη στιγμή για το Twitter.
Η ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC), ένα όργανο της ΕΕ για την προστασία της ιδιωτικής ζωής, έχει ξεκινήσει έρευνα σχετικά με τα αρχεία 5,4 εκατομμυρίων χρηστών που κλάπηκαν το 2021 με τη χρήση αυτής της ευπάθειας.
Παρόλο που το Twitter επιδιόρθωσε την ευπάθεια τον Ιανουάριο, στη συνέχεια διαπιστώθηκε ότι αρκετοί απειλητικοί παράγοντες το χρησιμοποίησαν για να συλλέξουν διάφορα data των χρηστών.
Ωστόσο, σύμφωνα με τον Alon Gal της εταιρείας Hudson Rock επιβεβαίωσε “ανεξάρτητα” ότι τα δείγματα που διέρρευσαν φαίνονται να είναι αυθεντικά.
Λάβετε υπόψη ότι, προς το παρόν, δεν είναι δυνατόν να επιβεβαιωθεί ότι υπάρχουν 400εκατ. χρήστες στη βάση δεδομένων, όπως σημειώνει η εταιρεία Hudson Rock σε ένα tweet.
Please Note:At this stage it is not possible to fully verify that there are indeed 400,000,000 users in the database.
From an independent verification the data itself appears to be legitimate and we will follow up with any developments.
— Hudson Rock (@RockHudsonRock) December 24, 2022
Ένας άλλος απειλητικός παράγοντας ισχυρίστηκε ότι χρησιμοποίησε αυτή την ευπάθεια για να κάνει scrape τα δεδομένα 17 εκατομμυρίων χρηστών. Ωστόσο, αυτή η διαρροή εξακολουθεί να είναι ιδιωτική και δεν πωλείται.
Για οτιδήποτε νεότερο όσον αφορά αυτή την επίθεση προς το Twitter και τον νέο CEO του, Elon Musk, θα σας κρατάμε ενήμερους.
Πηγή: bleepingcomputer.com, secnews.gr
Ακολουθήστε το Sahiel.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις.