Tin tặc đang rao bán dữ liệu của 400 triệu người dùng Twitter

Một kẻ đe dọa đang rao bán dữ liệu của 400 triệu người dùng Twitter được thu thập vào năm 2021 thông qua lỗ hổng API hiện đã được vá.

Dữ liệu được rao bán độc quyền với giá 200.000 đô bởi một đối tượng có tên 'Ryushi' trên diễn đàn hack Breached, một trang web thường được sử dụng để bán dữ liệu người dùng bị đánh cắp trong các vụ vi phạm.

Ryushi cảnh báo với Elon Musk và Twitter rằng họ nên mua dữ liệu trước khi nó dẫn đến một khoản tiền phạt lớn hơn theo luật bảo mật GDPR của Châu Âu.

Trong một bài đăng trên diễn đàn, Ryushi gửi lời đến Twitter/Elon Musk rằng họ “có thể đối mặt với khoản tiền phạt GDPR đối với vi phạm 5,4 triệu hình ảnh của 400 triệu người dùng bị xâm phạm".

"Lựa chọn tốt nhất để tránh phải trả 276 triệu đô tiền phạt vi phạm GDPR như Facebook (do 533 triệu người dùng bị vi phạm) là mua độc quyền dữ liệu này".

Bài đăng rao bán dữ liệu của Ryushi trên diễn đàn hack

Kẻ đe dọa còn đề cập đến việc dữ liệu này có thể bị lạm dụng bởi các tác nhân đe dọa khác cho các cuộc tấn công lừa đảo (phishing), lừa đảo tiền điện tử và tấn công BEC.

Bài đăng bao gồm mẫu dữ liệu của 37 người nổi tiếng, chính trị gia, nhà báo, tập đoàn và cơ quan chính phủ, bao gồm Alexandria Ocasio-Cortez, Donald Trump JR, ​​Mark Cuba, Kevin O'Leary và Piers Morgan, và một mẫu lớn hơn chứa 1.000 hồ sơ người dùng Twitter bị rò rỉ.

Hồ sơ chứa dữ liệu Twitter của người dùng, bao gồm địa chỉ email, tên, tên người dùng, số lượng người theo dõi, ngày tạo và số điện thoại của họ.

Hầu hết tất cả dữ liệu này đều có thể truy cập công khai, nhưng số điện thoại và địa chỉ email là thông tin cá nhân của người dùng.

Ryushi cho biết đang muốn bán độc quyền dữ liệu Twitter cho một người hoặc Twitter với giá 200.000 đô, sau đó sẽ xóa dữ liệu. Nếu không được, họ sẽ bán các bản sao cho nhiều người với giá 60.000 đô cho mỗi bản.

Ryushi cho biết cũng đã liên hệ với Twitter để đòi tiền chuộc dữ liệu nhưng không nhận được phản hồi.

Dữ liệu được thu thập thông qua lỗ hổng API hiện đã được vá

Kẻ đe dọa xác nhận đã thu thập số điện thoại và địa chỉ email cá nhân bằng cách sử dụng lỗ hổng API mà Twitter đã khắc phục vào tháng 1 năm nay liên quan đến vụ rò rỉ dữ liệu của 5,4 triệu người dùng trước đó.

Lỗ hổng này cho phép kẻ tấn công gửi danh sách số điện thoại và địa chỉ email vào API Twitter để lấy ID người dùng được liên kết. ID này sau đó được sử dụng để truy xuất dữ liệu hồ sơ công khai của người dùng, xây dựng hồ sơ người dùng Twitter bao gồm dữ liệu công khai và dữ liệu cá nhân.

Mặc dù Twitter đã vá lỗ hổng bảo mật vào tháng 1, nhưng lỗ hổng đã bị nhiều tác nhân đe dọa khai thác để thu thập thông tin cá nhân của người dùng Twitter.

Đối với vụ rò rỉ mới này, BleepingComputer chỉ có thể xác nhận hai trong số các mẫu dữ liệu bị rò rỉ là hợp lệ.

Công ty tình báo về mối đe dọa Hudson Rock cũng đã tiến hành xác mình độc lập các mẫu và cho biết "không thể xác minh chính xác rằng thực sự có 400.000.000 người dùng trong cơ sở dữ liệu hay không" tuy nhiên "các mẫu dữ liệu có vẻ hợp pháp".

Sự việc này xảy ra cùng khi cơ quan giám sát quyền riêng tư của Liên minh Châu Âu, Ủy ban bảo vệ dữ liệu Ireland (DPC), bắt đầu điều tra về việc tiết lộ gần đây của 5,4 triệu hồ sơ người dùng bị đánh cắp vào năm 2021 thông qua lỗ hổng Twitter.

Một kẻ đe dọa khác tuyên bố cũng đã sử dụng lỗ hổng này để lấy dữ liệu của 17 triệu người dùng. Tuy nhiên, thông tin rò rỉ này vẫn chưa được xác nhận và không được rao bán.

Nguồn: bleepingcomputer.com.