Một tin tặc tuyên bố đang bán dữ liệu Twitter cá nhân của 400 triệu người dùng, theo một báo cáo. Cá nhân được đề cập tuyên bố đang bán dữ liệu công khai và riêng tư của hơn 400 triệu người dùng Twitter bị đánh cắp vào tháng 11/2021, khai thác lỗ hổng API chưa được khắc phục cho đến tháng 01/2022.
Mặc dù Twitter đã khắc phục lỗ hổng này vào tháng 01/2022, nhưng có vẻ như nhiều tin tặc đã có thể đánh cắp một lượng lớn thông tin cá nhân của người dùng trước khi nó được xử lý.
Dữ liệu chứa thông tin từ người dùng, bao gồm email, tên người dùng, ngày tạo tài khoản và số điện thoại của họ; trong đó có bao gồm cả thông tin của 37 người nổi tiếng, chính trị gia, nhà báo, tập đoàn và cơ quan chính phủ.
Trong một cuộc phỏng vấn với BleepingComputer, một trang web tin tức công nghệ và bảo mật thông tin, kẻ đe dọa tự gọi mình là “Ryushi” đã nói rằng hắn yêu cầu Twitter trả khoản tiền chuộc 200.000 USD để tránh tiết lộ thêm dữ liệu và các khoản tiền phạt tiềm ẩn từ các cơ quan quản lý nếu rò rỉ rộng rãi hơn.
Ông ấy nói rằng ông đã đề nghị bán lại thông tin cá nhân cho một nền tảng truyền thông xã hội khác, tuy nhiên sẽ thực hiện lời hứa sẽ xóa dữ liệu sau khi khoản thanh toán tiền chuộc được đảm bảo.
Nếu không có thỏa thuận nào được đáp ứng, các bản sao sẽ được bán cho nhiều tổ chức với giá 60.000 USD cho mỗi lần tải xuống trên diễn đàn “Breached” khét tiếng, thường được tin tặc sử dụng để bán dữ liệu người dùng bị đánh cắp, theo BleepingComputer.
Twitter đối mặt với một trong những vụ rò rỉ dữ liệu tồi tệ nhất trong lịch sử
Tin tặc ẩn danh xác nhận rằng ông ta đã thu thập dữ liệu cá nhân thông qua vụ rò rỉ API năm 2021, vụ rò rỉ này cũng liên quan đến một vụ rò rỉ tương tự đã được xác nhận liên quan đến 5,4 triệu tài khoản.
Một vi phạm khác có tới 17 triệu người dùng, được cho là do một nhóm tin tặc khác thực hiện, BleepingComputer đưa tin.
Trang web an ninh mạng cho đến nay đã có thể xác nhận rằng chỉ có hai rò rỉ này là hợp lệ.
Lỗi bảo mật cho phép tin tặc cung cấp danh sách lớn số điện thoại và địa chỉ email vào API Twitter và nhận ID người dùng Twitter được liên kết, trang web bảo mật thông tin đã báo cáo.
“Ryushi” tuyên bố rằng sau đó ông ta đã sử dụng một ID với một IP khác để truy xuất dữ liệu hồ sơ công khai của một người dùng, sau đó xây dựng một hồ sơ người dùng Twitter bao gồm dữ liệu công khai và riêng tư.
“Tôi đã có được quyền truy cập bằng cách khai thác tương tự được sử dụng cho 5,4 triệu dữ liệu bị rò rỉ. Sau khi đã nói chuyện với người bán nó, ông ta xác nhận rằng nó nằm trong luồng đăng nhập twitter”, hacker nói với BleepingComputer.
“Vì vậy, trong quá trình kiểm tra sự trùng lặp, nó đã làm rò rỉ ID người dùng mà tôi đã chuyển đổi bằng API khác thành tên người dùng và thông tin khác”.
Công ty bảo mật tội phạm mạng, Hudson Rock, cho biết trong một tweet rằng họ có thể xác minh độc lập rằng các mẫu dữ liệu bị rò rỉ thông qua vi phạm trong hệ thống API có vẻ hợp pháp.
Điều này dựa trên mẫu 1.000 hồ sơ người dùng Twitter bị rò rỉ bởi “Ryushi,” Hudson Rock đưa tin.
Đe dọa bán dữ liệu cho các mạng tội phạm nếu Twitter không phản hồi
“Ryushi” đã đe dọa Giám đốc điều hành Twitter Elon Musk rằng việc không hợp tác sẽ bị Liên minh Châu Âu GDPR phạt vi phạm quyền riêng tư lên tới 276 triệu USD, giống như những gì đã xảy ra với Facebook, khi hơn 500 triệu dữ liệu của người dùng bị lộ.
Tin tặc đã cảnh báo Elon Musk và Twitter rằng họ nên mua dữ liệu ngay lập tức.
“Twitter hoặc Elon Musk, nếu bạn đang đọc điều này, bạn đã mạo hiểm với khoản tiền phạt GDPR hơn 5,4 triệu USD, hãy tưởng tượng số tiền phạt nếu 400 triệu người dùng vi phạm. Lựa chọn tốt nhất của bạn để tránh phải trả 276 triệu USD tiền phạt vi phạm GDPR như Facebook đã làm (do 533 triệu người dùng bị thu thập dữ liệu) là mua độc quyền dữ liệu này”, hacker đe dọa trong bức thư yêu cầu tiền chuộc.
Một số tên tuổi nổi tiếng bao gồm cựu Tổng thống Donald Trump, Dân biểu Alexandria Ocasio-Cortez của New York, Vitalik Buterin, Kevin O'Leary, Mark Cuban, và những người khác.
“Ryushi” đã đính kèm một liên kết đến một bài đăng cảnh báo cách tội phạm mạng có thể lạm dụng dữ liệu bị đánh cắp để lừa đảo, lừa đảo tiền điện tử, doxing, tấn công BEC và các hoạt động độc hại khác đối với người dùng, nêu bật hậu quả của việc Musk không hợp tác.
Tin tặc lưu ý rằng vì Musk đã chịu áp lực từ chính phủ và các nhà phê bình vì đã thay đổi chính sách xác minh của Twitter , nên người dùng có thể mất niềm tin vào nền tảng này khi họ phát hiện ra vi phạm dữ liệu.
Tin xấu được đưa ra sau khi Ủy ban bảo vệ dữ liệu Ireland, cơ quan giám sát quyền riêng tư của EU, đã mở một cuộc điều tra trong tháng này về vi phạm dữ liệu của Twitter.
Tuy nhiên, trong khi một số nhà phân tích suy đoán rằng tuyên bố của “Ryushi” về việc sở hữu dữ liệu riêng tư của 400 triệu tài khoản là bịp bợm, Hudson Rock tin rằng mối đe dọa mạng là có thật.
“Xin lưu ý: Ở giai đoạn này, không thể xác minh đầy đủ rằng thực sự có 400.000.000 người dùng trong cơ sở dữ liệu. Từ một xác minh độc lập, bản thân dữ liệu có vẻ hợp pháp và chúng tôi sẽ theo dõi mọi diễn biến”, cơ quan tình báo tội phạm mạng nêu trong một tweet riêng.
Theo The Epoch Times
Minh Đăng biên dịch
