黑客声称要出售 4 亿用户的 Twitter 数据

一名威胁行为者声称要出售 2021 年使用现已修复的 API 漏洞收集的 4 亿 Twitter 用户的公共和私人数据。他们要价 200,000 美元进行独家销售。

所谓的数据转储由名为“Ryushi”的威胁行为者在 Breached 黑客论坛上出售，该网站通常用于出售在数据泄露中被盗的用户数据。

威胁行为者声称已使用漏洞收集了 400 多万独立 Twitter 用户的数据。他们警告 Elon Musk 和 Twitter，他们应该在根据欧洲 GDPR 隐私法导致巨额罚款之前购买这些数据。

Ryushi 在论坛帖子中写道：“Twitter 或 Elon Musk 如果你正在阅读这篇文章，你已经冒着超过 540 万违规的 GDPR 罚款风险，即 4 亿用户违规来源的罚款。”

“避免像 Facebook 那样支付 2.76 亿美元的 GD​​PR 违规罚款（由于 5.33 亿用户被删除）的最佳选择是专门购买这些数据。”

威胁行为者还链接到一个帖子，该帖子解释了其他威胁行为者如何滥用这些数据进行网络钓鱼攻击、加密诈骗和 BEC 攻击。

论坛帖子包含 37 名名人、政治家、记者、企业和政府机构的样本数据，包括亚历山大·奥卡西奥-科尔特斯、小唐纳德·特朗普、马克·古巴、凯文·奥利里和皮尔斯·摩根。此外，后来泄露了包含 1,000 个 Twitter 用户配置文件的更大样本。

用户配置文件包含公共和私人 Twitter 数据，包括用户的电子邮件地址、姓名、用户名、关注者数量、创建日期和电话号码。尽管所有泄露的个人资料似乎都有与之关联的电子邮件地址，但许多人没有电话号码。

虽然几乎所有这些数据都可供任何 Twitter 用户公开访问，但电话号码和电子邮件地址是私人信息。

威胁演员 Ryushi 告诉 BleepingComputer，他们正试图以 200,000 美元的价格将 Twitter 数据专门出售给一个人/Twitter，然后将删除这些数据。如果没有进行独家购买，他们将以每笔 60,000 美元的价格向多人出售副本。

当被问及他们是否联系 Twitter 以勒索数据时，他们告诉 BleepingComputer，他们联系了 Twitter 并拨打了电话，但没有收到回复。

使用现已修复的 API 漏洞收集的数据

威胁行为者向 BleepingComputer 证实，他们使用 Twitter 于 2022 年 1 月修复的 API 漏洞收集了私人电话号码和电子邮件地址，该漏洞之前与 540 万用户数据泄露事件有关。

此漏洞允许一个人将大量电话号码和电子邮件地址列表输入 Twitter API 并接收关联的 Twitter 用户 ID。然后，威胁行为者将此 ID 与另一个 IP 一起使用，以检索用户的公共配置文件数据，构建由公共数据和私人数据组成的 Twitter 用户配置文件。

“我已经通过用于 5.4m 数据泄漏的相同漏洞获得了访问权限。与它的卖家交谈，他确认它在 Twitter 登录流程中，”威胁演员告诉 BleepingComputer。

“因此，在检查重复时，它泄露了我使用另一个 API 转换为用户名和其他信息的用户 ID。”

虽然 Twitter 在 2022 年 1 月修复了该漏洞，但现在已确认它已被多个威胁行为者用来从 Twitter 用户那里收集私人信息。

至于这次新的泄密事件，BleepingComputer 只能确认泄露的两个 Twitter 个人资料是有效的。

然而，威胁情报公司 Hudson Rock 的 Alon Gal 表示，他们独立核实泄露的样本似乎是合法的。

“请注意：现阶段无法完全验证数据库中确实有 4 亿用户，”  Hudson Rock 发推文说。

“从独立核实来看，数据本身似乎是合法的，我们将跟进任何事态发展。”

Twitter 用户数据的泄露对这家社交媒体公司来说来得不是时候，因为欧盟隐私监管机构爱尔兰数据保护委员会 (DPC) 已开始调查 最近发布的 2021 年被盗的 540 万条用户记录这个漏洞。

另一个威胁参与者声称也利用此漏洞 抓取了据称 1700 万用户的数据。但是，此泄漏仍然是私人的，不会出售。

BleepingComputer 联系了 Twitter，询问有关出售这些数据的更多问题，但没有立即得到回应。