Bir tehdit oyuncusu, şimdi sabit bir API güvenlik açığı kullanarak 2021'de kazınan 400 milyon Twitter kullanıcısının kamu ve özel verilerini sattığını iddia ediyor. Özel bir satış için 200.000 dolar istiyorlar.
İddia edilen veri dökümü, veri ihlallerinde çalınan kullanıcı verilerini satmak için yaygın olarak kullanılan bir site olan ihlal edilen hack forumunda 'Ryushi' adlı bir tehdit oyuncusu tarafından satılıyor.
Tehdit oyuncusu, bir güvenlik açığı kullanarak 400'den fazla benzersiz Twitter kullanıcısının verilerini topladığını iddia etti. Elon Musk ve Twitter'a, Avrupa'nın GDPR gizlilik yasası altında büyük bir para cezasına yol açmadan verileri satın almaları gerektiği konusunda uyardı.
Ryushi bir forum gönderisinde, "Twitter veya Elon Musk bunu okuyorsanız, 400m kullanıcısının ihlali kaynağının para cezasını görüntüleme 5.4m'den fazla bir GDPR para cezası veriyorsunuz."
"Facebook'un yaptığı gibi GDPR ihlali para cezalarında 276 milyon dolar ödemekten kaçınmak için en iyi seçeneğiniz (533 milyon kullanıcının kazınması nedeniyle) bu verileri sadece satın almaktır."
Tehdit oyuncusu ayrıca, bu verilerin kimlik avı saldırıları, kripto dolandırıcılığı ve BEC saldırıları için diğer tehdit aktörleri tarafından nasıl istismar edilebileceğini açıklayan bir görevle de bağlantılı oldu.
Forum postası, İskenderiye Ocasio-Cortez, Donald Trump Jr, Mark Cuba, Kevin O'Leary ve Piers Morgan dahil olmak üzere otuz yedi ünlü, politikacılar, gazeteciler, şirketler ve devlet kurumları için örnek veriler içeriyor. Buna ek olarak, daha sonra 1.000 Twitter kullanıcı profilinden oluşan daha büyük bir örnek sızdırıldı.
Kullanıcı profilleri, kullanıcıların e -posta adresleri, adları, kullanıcı adları, takipçi sayısı, oluşturma tarihi ve telefon numaraları dahil olmak üzere genel ve özel Twitter verileri içerir. Sızan profillerin tümü onlarla ilişkili e -posta adresleri var gibi görünse de, birçoğunun telefon numaraları yoktur.
Bu verilerin neredeyse tamamı herhangi bir Twitter kullanıcısı tarafından halka açık bir şekilde erişilebilir olsa da, telefon numaraları ve e -posta adresleri özel bilgilerdir.
Tehdit oyuncusu Ryushi, BleepingComputer'a Twitter verilerini sadece 200.000 $ karşılığında tek bir kişiye/Twitter'a satmaya çalıştıklarını ve daha sonra verileri sileceğini söyledi. Özel bir satın alma yapılmazsa, satış başına 60.000 $ karşılığında birden fazla kişiye kopya satacaklar.
Verileri fidye etmek için Twitter ile iletişime geçip geçmedikleri sorulduğunda, BleepingComputer'a Twitter ile iletişim kurduklarını ve arama yaptıklarını ancak yanıt almadığını söylediler.
Tehdit oyuncusu, BleepingComputer'a Twitter'ın Ocak 2022'de düzelttiği ve daha önce 5.4 milyon kullanıcı veri ihlali ile ilişkili olduğu bir API güvenlik açığı kullanarak özel telefon numaralarını ve e -posta adreslerini topladıklarını doğruladı.
Bu güvenlik açığı, bir kişinin büyük telefon numaraları ve e -posta adresleri listelerini bir Twitter API'sına beslemesine ve ilişkili bir Twitter kullanıcı kimliği almasına izin verdi. Tehdit oyuncusu daha sonra bu kimliği, kullanıcılar için genel profil verilerini almak için başka bir IP ile kullandı ve genel ve özel verilerden oluşan bir Twitter kullanıcı profili oluşturdu.
Tehdit oyuncusu BleepingComputer'a verdiği demeçte, "Zaten 5.4m veri sızıntısı için kullanılan aynı istismar tarafından erişim sağladım. Satıcı ile konuştu ve Twitter giriş akışında olduğunu doğruladı" dedi.
"Yani, çoğaltma kontrolünde başka bir API kullanarak dönüştürdüğüm kullanıcı adını kullanıcı adına ve diğer bilgilere sızdırdı."
Twitter, Ocak 2022'de güvenlik açığını düzeltmesine rağmen, artık Twitter kullanıcılarından özel bilgileri kazımak için birden fazla tehdit aktörü tarafından kullanıldığı doğrulandı.
Bu yeni sızıntıya gelince, BleepingComputer sızdırılan Twitter profillerinden ikisini geçerli olarak onaylayabildi.
Bununla birlikte, tehdit istihbarat şirketi Hudson Rock'tan Alon Gal, sızdırılan örneklerin meşru göründüğünü bağımsız olarak doğruladıklarını söyledi.
Hudson Rock, "Lütfen dikkat: Bu aşamada, veritabanında gerçekten 400.000.000 kullanıcı olduğunu tam olarak doğrulamak mümkün değil."
"Bağımsız bir doğrulamadan verilerin kendisi meşru görünüyor ve herhangi bir gelişmeyi takip edeceğiz."
Twitter kullanıcı verilerinin bu sızıntısı, bir AB gizlilik gözlemcisi olan İrlanda Veri Koruma Komisyonu (DPC), 2021'de çalınan 5.4 milyon kullanıcı kaydının son yayınlanması hakkında bir soruşturma başlattığından, sosyal medya şirketi için kötü bir zamanda geliyor. Bu güvenlik açığı.
Başka bir tehdit oyuncusu, bu güvenlik açığını iddia ettiği iddia edilen 17 milyon kullanıcının verilerini kazımak için de kullandığını iddia etti. Ancak, bu sızıntı hala özel ve satılmıyor.
BleepingComputer, bu verilerin satışı ile ilgili başka sorularla Twitter'a ulaştı, ancak bir yanıt hemen mevcut değildi.
5,4 milyon Twitter kullanıcısı çalınan verileri çevrimiçi sızdırıldı - daha fazla paylaşılan özel olarak
Twitter, 5.4 milyon hesaptan verilen verileri ortaya çıkarmak için kullanılan sıfır gününü onaylar
Twitter, son kullanıcı veri sızıntısının 2021 ihlali olduğunu doğrular
AB Gizlilik Bekçisi tarafından araştırılan büyük Twitter Veri Sızıntısı
Önde gelen spor bahis firması Betmgm veri ihlalini açıklar
Kaynak: Bleeping Computer