信息化觀察網(wǎng)

本文來(lái)自嘶吼網(wǎng)，作者/ang010ela。

黑客以20萬(wàn)美元的價(jià)格出售4億推特用戶數(shù)據(jù)。

近日，有名為Ryushi的黑客在論壇以20萬(wàn)美元的價(jià)格出售4億推特用戶數(shù)據(jù)，包含公開(kāi)和隱私數(shù)據(jù)。黑客稱(chēng)這些數(shù)據(jù)是通過(guò)推特的一個(gè)API漏洞來(lái)獲取的。

黑客向馬斯克和推特勒索，稱(chēng)其應(yīng)該在歐盟GDPR罰款之前購(gòu)買(mǎi)這些數(shù)據(jù)。因?yàn)橹癋acebook 5.33億用戶數(shù)據(jù)泄露被GDPR法律罰款，因此黑客向推特勒索2.76億美元的贖金。

圖黑客在論壇出售4億推特用戶數(shù)據(jù)

黑客解釋了這些數(shù)據(jù)的潛在用途，攻擊者利用這些數(shù)據(jù)可以實(shí)現(xiàn)釣魚(yú)攻擊、加密貨幣垃圾郵件、BEC攻擊等。

黑客還發(fā)布了樣本數(shù)據(jù)，其中包含37個(gè)名人、政客、記者、政府機(jī)構(gòu)的數(shù)據(jù)，包括美國(guó)議員Alexandria Ocasio-Cortez、美國(guó)前總統(tǒng)特朗普、美國(guó)最知名投資人馬克庫(kù)班（Mark Cuban）、Kevin O'Leary、主持人皮爾斯·摩根。此外，還有1000個(gè)推特用戶簡(jiǎn)介信息泄露。

用戶信息中既包括公開(kāi)和隱私的推特用戶數(shù)據(jù)，包括用戶郵件地址、姓名、用戶名、關(guān)注者數(shù)量、創(chuàng)建日期、手機(jī)號(hào)碼。泄露的用戶簡(jiǎn)介信息中都關(guān)聯(lián)了郵箱地址，但許多賬戶并沒(méi)有手機(jī)號(hào)。

雖然泄露的用戶數(shù)據(jù)都是公開(kāi)可訪問(wèn)的，但手機(jī)號(hào)和郵箱地址屬于隱私信息。

Ryushi稱(chēng)其計(jì)劃將這4億用戶數(shù)據(jù)以20萬(wàn)美元的價(jià)格排外地出售給一個(gè)人或推特，然后將刪除這些數(shù)據(jù)。如果出售不成功，將以6萬(wàn)美元的價(jià)格出售給多個(gè)用戶。在問(wèn)及是否聯(lián)系推特支付贖金時(shí)，Ryushi稱(chēng)其已經(jīng)聯(lián)系了推特，但尚未得到回復(fù)。

攻擊者稱(chēng)這些數(shù)據(jù)是通過(guò)一個(gè)推特API漏洞來(lái)收集的。該漏洞允許用戶向推特API輸入手機(jī)號(hào)碼和郵箱地址，就可以獲得對(duì)應(yīng)的推特用戶id。然后攻擊者利用該id和IP來(lái)獲取用戶的公開(kāi)個(gè)人簡(jiǎn)介數(shù)據(jù)，將推特用戶的公開(kāi)數(shù)據(jù)和隱私數(shù)據(jù)關(guān)聯(lián)在一起。

推特已于2022年1月修復(fù)了該漏洞。但之前已有多名黑客利用該漏洞抓取了推特用戶數(shù)據(jù)，其中有黑客出售了超過(guò)540萬(wàn)用戶數(shù)據(jù)。

威脅情報(bào)公司Hudson Rock的研究人員Alon Gal驗(yàn)證了泄露的樣本數(shù)據(jù)，并確認(rèn)了樣本數(shù)據(jù)的真實(shí)性。但稱(chēng)目前還無(wú)法完全確定數(shù)據(jù)庫(kù)中4億用戶數(shù)據(jù)的真實(shí)性。

此前推特已確認(rèn)了API漏洞問(wèn)題。但截止目前，推特未對(duì)本次數(shù)據(jù)泄露事件進(jìn)行回應(yīng)。

本文翻譯自：https://www.bleepingcomputer.com/news/security/hacker-claims-to-be-selling-twitter-data-of-400-million-users/