Segundo o site BleepingComputer, um hacker está vendendo dados de 400 milhões de usuários do Twitter
Um agente de ameaças afirma estar vendendo dados públicos e privados de 400 milhões de usuários do Twitter obtidos em 2021 usando uma vulnerabilidade de API agora corrigida. Eles estão pedindo $ 200.000 por uma venda exclusiva.
Hacker está vendendo dados de 400 milhões de usuários do Twitter
O suposto despejo de dados está sendo vendido por um agente de ameaças chamado ‘Ryushi’ no fórum de hackers Breached, um site comumente usado para vender dados de usuários roubados em violações de dados.
O agente da ameaça alegou ter coletado os dados de mais de 400 milhões de usuários únicos do Twitter usando uma vulnerabilidade.
Eles alertaram Elon Musk e o Twitter de que deveriam comprar os dados antes que isso levasse a uma grande multa sob a lei de privacidade GDPR da Europa.
Em um post no fórum, Ryushi escreveu:
“Twitter ou Elon Musk, se você está lendo isso, já está arriscando uma multa de 5,4 milhões de violação do GDPR, imaginando a multa de 400 milhões de usuários.”
“Sua melhor opção para evitar o pagamento de US$ 276 milhões em multas por violação do GDPR, como o Facebook fez (devido a 533 – milhões de usuários sendo roubados) é comprar esses dados exclusivamente.”
O agente da ameaça também vinculou a uma postagem explicando como esses dados podem ser abusados por outros agentes de ameaças para ataques de phishing, golpes de criptografia e ataques BEC.
A postagem do fórum inclui dados de amostra para trinta e sete celebridades, políticos, jornalistas, corporações e agências governamentais, incluindo Alexandria Ocasio-Cortez, Donald Trump JR, Mark Cuba, Kevin O’Leary e Piers Morgan.
Além disso, uma amostra maior de 1.000 perfis de usuários do Twitter vazou posteriormente.
Os perfis de usuário contêm dados públicos e privados do Twitter, incluindo endereços de e-mail, nomes, nomes de usuários, contagem de seguidores, data de criação e números de telefone dos usuários.
Embora todos os perfis vazados pareçam ter endereços de e-mail associados a eles, muitos não têm números de telefone.
Embora quase todos esses dados sejam acessíveis publicamente a qualquer usuário do Twitter, números de telefone e endereços de e-mail são informações privadas.
O ator da ameaça Ryushi disse ao BleepingComputer que eles estão tentando vender os dados do Twitter exclusivamente para uma única pessoa/Twitter por US$ 200.000 e, em seguida, excluirão os dados.
Se uma compra exclusiva não for feita, eles venderão cópias para várias pessoas por US$ 60.000 por venda.
Quando questionados se entraram em contato com o Twitter para resgatar os dados, eles disseram ao BleepingComputer que entraram em contato com o Twitter e fizeram ligações, mas não receberam resposta.
Dados coletados usando vulnerabilidade de API agora corrigida
O agente da ameaça confirmou ao site BleepingComputer que coletou os números de telefone privados e endereços de e-mail usando uma vulnerabilidade de API que o Twitter corrigiu em janeiro de 2022 e foi anteriormente associada a uma violação de dados de 5,4 milhões de usuários.
Essa vulnerabilidade permitia que uma pessoa alimentasse grandes listas de números de telefone e endereços de e-mail em uma API do Twitter e recebesse um ID de usuário do Twitter associado.
O agente da ameaça então usou esse ID com outro IP para recuperar os dados do perfil público dos usuários, criando um perfil de usuário do Twitter que consiste em dados públicos e privados.
Ao site BleepingComputer, o agente da ameaça disse que:
“Ganhei acesso pelo mesmo exploit usado para vazamento de dados de 5,4 milhões. Falei com o vendedor e ele confirmou que estava no fluxo de login do Twitter. Então, na verificação de duplicação, vazou o userID que converti usando outra API para nome de usuário e outras informações.”
Embora o Twitter tenha corrigido a vulnerabilidade em janeiro de 2022, agora foi confirmado que ela foi usada por vários agentes de ameaças para coletar informações privadas de usuários do Twitter.
Quanto a esse novo vazamento, o BleepingComputer só conseguiu confirmar dois dos perfis vazados do Twitter como válidos.
No entanto, Alon Gal, da empresa de inteligência contra ameaças Hudson Rock, disse que eles verificaram de forma independente que as amostras vazadas parecem legítimas.
A Hudson Rock twittou o eguinte:
“Observação: neste estágio, não é possível verificar totalmente se realmente existem 400 milhões de usuários no banco de dados. A partir de uma verificação independente, os próprios dados parecem ser legítimos e acompanharemos qualquer desenvolvimento”.
Esse vazamento de dados de usuários do Twitter chega em um momento ruim para a empresa de mídia social, já que um órgão regulador da privacidade da UE, a Irish Data Protection Commission (DPC), iniciou uma investigação sobre a publicação recente dos 5,4 milhões de registros de usuários roubados em 2021 usando esta vulnerabilidade.
Outro ator de ameaça afirmou também ter usado essa vulnerabilidade para coletar os dados de supostos 17 milhões de usuários. No entanto, esse vazamento ainda é privado e não está sendo vendido.