2023.01.06

黑客勒索推特,将出售4亿用户数据

黑客以20万美元的价格出售4亿推特用户数据。

近日,有名为Ryushi的黑客在论坛以20万美元的价格出售4亿推特用户数据,包含公开和隐私数据。黑客称这些数据是通过推特的一个API漏洞来获取的。

黑客向马斯克和推特勒索,称其应该在欧盟GDPR罚款之前购买这些数据。因为之前Facebook 5.33亿用户数据泄露被GDPR法律罚款,因此黑客向推特勒索2.76亿美元的赎金。

黑客解释了这些数据的潜在用途,攻击者利用这些数据可以实现钓鱼攻击、加密货币垃圾邮件、BEC攻击等。

黑客还发布了样本数据,其中包含37个名人、政客、记者、政府机构的数据,包括美国议员Alexandria Ocasio-Cortez、美国前总统特朗普、美国最知名投资人马克库班(Mark Cuban)、Kevin O'Leary、主持人皮尔斯·摩根。此外,还有1000个推特用户简介信息泄露。

用户信息中既包括公开和隐私的推特用户数据,包括用户邮件地址、姓名、用户名、关注者数量、创建日期、手机号码。泄露的用户简介信息中都关联了邮箱地址,但许多账户并没有手机号。

虽然泄露的用户数据都是公开可访问的,但手机号和邮箱地址属于隐私信息。

 Ryushi称其计划将这4亿用户数据以20万美元的价格排外地出售给一个人或推特,然后将删除这些数据。如果出售不成功,将以6万美元的价格出售给多个用户。在问及是否联系推特支付赎金时,Ryushi称其已经联系了推特,但尚未得到回复。

攻击者称这些数据是通过一个推特 API 漏洞来收集的。该漏洞允许用户向推特API输入手机号码和邮箱地址,就可以获得对应的推特用户id。然后攻击者利用该id和IP来获取用户的公开个人简介数据,将推特用户的公开数据和隐私数据关联在一起。

推特已于2022年1月修复了该漏洞。但之前已有多名黑客利用该漏洞抓取了推特用户数据,其中有黑客出售了超过540万用户数据。

威胁情报公司Hudson Rock的研究人员Alon Gal验证了泄露的样本数据,并确认了样本数据的真实性。但称目前还无法完全确定数据库中4亿用户数据的真实性。

此前推特已确认了API漏洞问题。但截止目前,推特未对本次数据泄露事件进行回应。

参考及来源:

https://www.bleepingcomputer.com/news/security/hacker-claims-to-be-selling-twitter-data-of-400-million-users/



上一篇:蔚来数据被窃遭勒索225 万美元

下一篇:数据比锂矿值钱