黑客在暗网出售4亿Twitter用户数据

近日，一位名为“Ryushi”的黑客以20万美元的买断价格独家在黑客论坛上出售4亿Twitter用户的公共和私人数据（包括私人电话号码和电子邮件地址），这名黑客声称这些数据是2021年利用一个现已修复的Twitter漏洞抓取的。

这名黑客还警告埃隆·马斯克（Elon Musk）和Twitter，他们应该在欧洲GDPR隐私法开出巨额罚单之前购买这些数据：

“Twitter或Elon Musk，如果你正在阅读这篇文章，要避免像Facebook那样支付2.76亿美元的GDPR违规罚款（因5.33亿用户数据泄露），最好的选择是专门购买这些数据。”

黑客还链接到一个帖子，解释了这些（泄露的Twitter用户）数据如何被其他黑客滥用以进行网络钓鱼攻击、加密诈骗和BEC攻击。

泄露数据的真实性得到初步验证

该论坛帖子提供的数据样本包括37位名人、政治家、记者、公司和政府机构的用户信息，其中包括Alexandria Ocasio-Cortez、唐纳德·特朗普、JR、Mark Cuba、Kevin O’Leary和Piers Morgan。随后，黑客又公布了一个包含1000个Twitter用户个人资料的更大样本。

已泄露的用户个人资料包含公共和私人Twitter用户数据，包括用户的电子邮件地址、姓名、用户名、关注者数量、创建日期和电话号码。尽管所有泄露的个人资料似乎都有与之关联的电子邮件地址，但许多个人资料没有电话号码。

虽然泄露的这些Twitter用户数据大多数都是公开可访问数据，但电话号码和电子邮件地址属于私人信息。

威胁情报公司Hudson Rock的Alon Gal表示，他们独立验证了泄露的Twitter用户数据样本的真实性。

“请注意：在这个阶段，不可能完全验证数据库中确实有4亿名用户，”Hudson Rock发推文说道：“从独立验证来看，数据本身似乎是真实的，我们将跟进事件进展。”

根据BleepingComputer的报道，黑客Ryushi计划以20万美元的价格将Twitter数据独家出售给个人买家或Twitter，然后将删除这些数据。如果没有进行独家购买，黑客将以每次销售6万美元的价格将副本出售给多人。

同一个API漏洞导致多次大规模数据泄露

黑客在帖子中透露利用了Twitter于2022年1月修复的API漏洞抓取了大量用户私人电话号码和电子邮件地址，该漏洞也与此前的540万Twitter用户数据泄露事件有关。

此漏洞允许用户将大量电话号码和电子邮件地址列表输入Twitter API，并接收关联的Twitter用户ID。然后，黑客将此ID与IP一起使用，以检索用户的公共个人资料数据，从而构建由公共和私人数据组成的Twitter用户个人资料。

虽然Twitter在2022年1月修复了该漏洞，但现在已经确认它已被多个黑客用来抓取Twitter用户的私人信息。

4亿用户数据的大规模泄漏对Twitter来说可谓雪上加霜，因为欧盟隐私监管机构爱尔兰数据保护委员会（DPC）刚启动调查2021年利用同一个漏洞泄露的540万条Twitter用户记录。

此外，今年11月安全研究人员Chad Loder曾透露有黑客利用同一个漏洞抓取了1700万Twitter用户的数据，但该数据尚未完成出售。