黑客以 20 万美元的价格出售 4 亿推特用户数据。
近日,有名为 Ryushi 的黑客在论坛以 20 万美元的价格出售 4 亿推特用户数据,包含公开和隐私数据。黑客称这些数据是通过推特的一个 API 漏洞来获取的。
黑客向马斯克和推特勒索,称其应该在欧盟 GDPR 罚款之前购买这些数据。因为之前 Facebook 5.33 亿用户数据泄露被 GDPR 法律罚款,因此黑客向推特勒索 2.76 亿美元的赎金。
图 黑客在论坛出售 4 亿推特用户数据
黑客解释了这些数据的潜在用途,攻击者利用这些数据可以实现钓鱼攻击、加密货币垃圾邮件、BEC 攻击等。
黑客还发布了样本数据,其中包含 37 个名人、政客、记者、政府机构的数据,包括美国议员 Alexandria Ocasio-Cortez、美国前总统特朗普、美国最知名投资人马克库班(Mark Cuban)、Kevin O'Leary、主持人皮尔斯 · 摩根。此外,还有 1000 个推特用户简介信息泄露。
用户信息中既包括公开和隐私的推特用户数据,包括用户邮件地址、姓名、用户名、关注者数量、创建日期、手机号码。泄露的用户简介信息中都关联了邮箱地址,但许多账户并没有手机号。
虽然泄露的用户数据都是公开可访问的,但手机号和邮箱地址属于隐私信息。
Ryushi 称其计划将这 4 亿用户数据以 20 万美元的价格排外地出售给一个人或推特,然后将删除这些数据。如果出售不成功,将以 6 万美元的价格出售给多个用户。在问及是否联系推特支付赎金时,Ryushi 称其已经联系了推特,但尚未得到回复。
攻击者称这些数据是通过一个推特 API 漏洞来收集的。该漏洞允许用户向推特 API 输入手机号码和邮箱地址,就可以获得对应的推特用户 id。然后攻击者利用该 id 和 IP 来获取用户的公开个人简介数据,将推特用户的公开数据和隐私数据关联在一起。
推特已于 2022 年 1 月修复了该漏洞。但之前已有多名黑客利用该漏洞抓取了推特用户数据,其中有黑客出售了超过 540 万用户数据。
威胁情报公司 Hudson Rock 的研究人员 Alon Gal 验证了泄露的样本数据,并确认了样本数据的真实性。但称目前还无法完全确定数据库中 4 亿用户数据的真实性。
此前推特已确认了 API 漏洞问题。但截止目前,推特未对本次数据泄露事件进行回应。
稿源:嘶吼RoarTalk
