黑客声称要出售 4 亿用户的 Twitter 数据

一名威胁行为者声称要出售 2021 年使用现已修复的 API 漏洞收集的 4 亿 Twitter 用户的公共和私人数据。他们要价 200,000 美元进行独家销售。

所谓的数据转储由名为“Ryushi”的威胁行为者在 Breached 黑客论坛上出售,该网站通常用于出售在数据泄露中被盗的用户数据。

威胁行为者声称已使用漏洞收集了 400 多万独立 Twitter 用户的数据。他们警告 Elon Musk 和 Twitter,他们应该在根据欧洲 GDPR 隐私法导致巨额罚款之前购买这些数据。

Ryushi 在论坛帖子中写道:“Twitter 或 Elon Musk 如果你正在阅读这篇文章,你已经冒着超过 540 万违规的 GDPR 罚款风险,即 4 亿用户违规来源的罚款。”

“避免像 Facebook 那样支付 2.76 亿美元的 GD​​PR 违规罚款(由于 5.33 亿用户被删除)的最佳选择是专门购买这些数据。”

出售据称 4 亿 Twitter 用户数据的论坛帖子
出售据称 4 亿 Twitter 用户数据的论坛帖子

威胁行为者还链接到一个帖子,该帖子解释了其他威胁行为者如何滥用这些数据进行网络钓鱼攻击、加密诈骗和 BEC 攻击。

论坛帖子包含 37 名名人、政治家、记者、企业和政府机构的样本数据,包括亚历山大·奥卡西奥-科尔特斯、小唐纳德·特朗普、马克·古巴、凯文·奥利里和皮尔斯·摩根。此外,后来泄露了包含 1,000 个 Twitter 用户配置文件的更大样本。

用户配置文件包含公共和私人 Twitter 数据,包括用户的电子邮件地址、姓名、用户名、关注者数量、创建日期和电话号码。尽管所有泄露的个人资料似乎都有与之关联的电子邮件地址,但许多人没有电话号码。

虽然几乎所有这些数据都可供任何 Twitter 用户公开访问,但电话号码和电子邮件地址是私人信息。

威胁演员 Ryushi 告诉 BleepingComputer,他们正试图以 200,000 美元的价格将 Twitter 数据专门出售给一个人/Twitter,然后将删除这些数据。如果没有进行独家购买,他们将以每笔 60,000 美元的价格向多人出售副本。

当被问及他们是否联系 Twitter 以勒索数据时,他们告诉 BleepingComputer,他们联系了 Twitter 并拨打了电话,但没有收到回复。

使用现已修复的 API 漏洞收集的数据

威胁行为者向 BleepingComputer 证实,他们使用 Twitter 于 2022 年 1 月修复的 API 漏洞收集了私人电话号码和电子邮件地址,该漏洞之前与 540 万用户数据泄露事件有关。

此漏洞允许一个人将大量电话号码和电子邮件地址列表输入 Twitter API 并接收关联的 Twitter 用户 ID。然后,威胁行为者将此 ID 与另一个 IP 一起使用,以检索用户的公共配置文件数据,构建由公共数据和私人数据组成的 Twitter 用户配置文件。

“我已经通过用于 5.4m 数据泄漏的相同漏洞获得了访问权限。与它的卖家交谈,他确认它在 Twitter 登录流程中,”威胁演员告诉 BleepingComputer。

“因此,在检查重复时,它泄露了我使用另一个 API 转换为用户名和其他信息的用户 ID。”

虽然 Twitter 在 2022 年 1 月修复了该漏洞,但现在已确认它已被多个威胁行为者用来从 Twitter 用户那里收集私人信息。

至于这次新的泄密事件,BleepingComputer 只能确认泄露的两个 Twitter 个人资料是有效的。

然而,威胁情报公司 Hudson Rock 的 Alon Gal 表示,他们独立核实泄露的样本似乎是合法的。

“请注意:现阶段无法完全验证数据库中确实有 4 亿用户,”  Hudson Rock 发推文说。

“从独立核实来看,数据本身似乎是合法的,我们将跟进任何事态发展。”

Twitter 用户数据的泄露对这家社交媒体公司来说来得不是时候,因为欧盟隐私监管机构爱尔兰数据保护委员会 (DPC) 已开始调查 最近发布的 2021 年被盗的 540 万条用户记录这个漏洞。

另一个威胁参与者声称也利用此漏洞 抓取了据称 1700 万用户的数据。但是,此泄漏仍然是私人的,不会出售。

BleepingComputer 联系了 Twitter,询问有关出售这些数据的更多问题,但没有立即得到回应。

THE END
喜欢就支持一下吧
点赞6539 分享
哪吒监控面板安装教程:一键部署,轻松管理多台VPS、云服务器 ,完全免费开源,堪称神器!!| 零度解说-零度博客

哪吒监控面板安装教程:一键部署,轻松管理多台VPS、云服务器 ,完全免费开源,堪称神器!!| 零度解说

https://youtu.be/aCHk1uWTvok ================= 本期视频所需的工具:https://www.freedidi.com/10466.html
admin的头像-零度博客admin
1.7W+1682
Windows 电脑装机必备,精选8个神仙级软件工具!-零度博客

Windows 电脑装机必备,精选8个神仙级软件工具!

  1.种子下载神器 qBittorrent增强版 下载地址:【点击前往】,暗黑主题下载:https://www.freedidi.com/10643.html 但是既然说它是加强版,肯定会和上面的普通版有不同之处。 它最大的区...
admin的头像-零度博客admin
2W+1683
10个让人惊讶的网站! | 零度解说-零度博客

10个让人惊讶的网站! | 零度解说

https://youtu.be/B4HQNu4IU9A
admin的头像-零度博客admin
1.6W+1091
Vercel免费容器一键 部署 Hexo 轻量级的博客!-零度博客

Vercel免费容器一键 部署 Hexo 轻量级的博客!

安装教程 账号准备 请注册好:Github 账号  再前往Vercel 网站 使用Github账号注册一个账号。这样注册好以后 Vercel里面就可以看到你 Github 里面的项目了。 创建 Hexo 项目 创建 Hexo 项目直...
admin的头像-零度博客admin
1.3W+6541
钛盘 TMP.link - 不限速无限空间的临时网盘 ! 免客户端 /支持CURL、Wget命令行上传下载   | 零度解说-零度博客
谷歌公布 2022 年最受欢迎的十款 Chrome 浏览器扩展程序 | 零度解说-零度博客
推荐8个非常实用的网站!AI在线作画、电影SRT字幕、上班摸鱼、无版权高清图库等!良心又好用!| 零度解说-零度博客
Apple 宣布售价 1,999 美元的 Mac Studio 工作站配备全新 20 核 M1 Ultra 芯片-零度博客

Apple 宣布售价 1,999 美元的 Mac Studio 工作站配备全新 20 核 M1 Ultra 芯片

几个月来,每个人都在猜测苹果很快会用自己的定制芯片更新基于英特尔的高端 Mac mini 配置,而现在苹果在其春季产品发布会上宣布了这一点。但我们得到的实际上比我们预期的要多一点。 新的桌面 ...
admin的头像-零度博客admin
1.5W+2251
Z-Library 被美国FBI再次黑掉登录域,但每个用户的秘密 URL 仍然有效-零度博客

Z-Library 被美国FBI再次黑掉登录域,但每个用户的秘密 URL 仍然有效

Z-Library 避免因俄罗斯人面临刑事指控而关闭个人 URL。 美国当局已经没收了另一个主要的 Z-Library 域,但仍无法从互联网上清除盗版图书网站。Z-Library 声称提供超过 1300 万册图书,高于去年...
admin的头像-零度博客admin
1.3W+6539