本文來(lái)自嘶吼網(wǎng),作者/ang010ela。
黑客以20萬(wàn)美元的價(jià)格出售4億推特用戶數(shù)據(jù)。
近日,有名為Ryushi的黑客在論壇以20萬(wàn)美元的價(jià)格出售4億推特用戶數(shù)據(jù),包含公開(kāi)和隱私數(shù)據(jù)。黑客稱(chēng)這些數(shù)據(jù)是通過(guò)推特的一個(gè)API漏洞來(lái)獲取的。
黑客向馬斯克和推特勒索,稱(chēng)其應(yīng)該在歐盟GDPR罰款之前購(gòu)買(mǎi)這些數(shù)據(jù)。因?yàn)橹癋acebook 5.33億用戶數(shù)據(jù)泄露被GDPR法律罰款,因此黑客向推特勒索2.76億美元的贖金。
圖黑客在論壇出售4億推特用戶數(shù)據(jù)
黑客解釋了這些數(shù)據(jù)的潛在用途,攻擊者利用這些數(shù)據(jù)可以實(shí)現(xiàn)釣魚(yú)攻擊、加密貨幣垃圾郵件、BEC攻擊等。
黑客還發(fā)布了樣本數(shù)據(jù),其中包含37個(gè)名人、政客、記者、政府機(jī)構(gòu)的數(shù)據(jù),包括美國(guó)議員Alexandria Ocasio-Cortez、美國(guó)前總統(tǒng)特朗普、美國(guó)最知名投資人馬克庫(kù)班(Mark Cuban)、Kevin O'Leary、主持人皮爾斯·摩根。此外,還有1000個(gè)推特用戶簡(jiǎn)介信息泄露。
用戶信息中既包括公開(kāi)和隱私的推特用戶數(shù)據(jù),包括用戶郵件地址、姓名、用戶名、關(guān)注者數(shù)量、創(chuàng)建日期、手機(jī)號(hào)碼。泄露的用戶簡(jiǎn)介信息中都關(guān)聯(lián)了郵箱地址,但許多賬戶并沒(méi)有手機(jī)號(hào)。
雖然泄露的用戶數(shù)據(jù)都是公開(kāi)可訪問(wèn)的,但手機(jī)號(hào)和郵箱地址屬于隱私信息。
Ryushi稱(chēng)其計(jì)劃將這4億用戶數(shù)據(jù)以20萬(wàn)美元的價(jià)格排外地出售給一個(gè)人或推特,然后將刪除這些數(shù)據(jù)。如果出售不成功,將以6萬(wàn)美元的價(jià)格出售給多個(gè)用戶。在問(wèn)及是否聯(lián)系推特支付贖金時(shí),Ryushi稱(chēng)其已經(jīng)聯(lián)系了推特,但尚未得到回復(fù)。
攻擊者稱(chēng)這些數(shù)據(jù)是通過(guò)一個(gè)推特API漏洞來(lái)收集的。該漏洞允許用戶向推特API輸入手機(jī)號(hào)碼和郵箱地址,就可以獲得對(duì)應(yīng)的推特用戶id。然后攻擊者利用該id和IP來(lái)獲取用戶的公開(kāi)個(gè)人簡(jiǎn)介數(shù)據(jù),將推特用戶的公開(kāi)數(shù)據(jù)和隱私數(shù)據(jù)關(guān)聯(lián)在一起。
推特已于2022年1月修復(fù)了該漏洞。但之前已有多名黑客利用該漏洞抓取了推特用戶數(shù)據(jù),其中有黑客出售了超過(guò)540萬(wàn)用戶數(shù)據(jù)。
威脅情報(bào)公司Hudson Rock的研究人員Alon Gal驗(yàn)證了泄露的樣本數(shù)據(jù),并確認(rèn)了樣本數(shù)據(jù)的真實(shí)性。但稱(chēng)目前還無(wú)法完全確定數(shù)據(jù)庫(kù)中4億用戶數(shù)據(jù)的真實(shí)性。
此前推特已確認(rèn)了API漏洞問(wèn)題。但截止目前,推特未對(duì)本次數(shù)據(jù)泄露事件進(jìn)行回應(yīng)。
本文翻譯自:https://www.bleepingcomputer.com/news/security/hacker-claims-to-be-selling-twitter-data-of-400-million-users/