Hackers oferecem ao Twitter um acordo exclusivo – eles vendem os dados de 400 milhões de usuários da rede social por US $ 200 mil
No fórum de hackers Breach, Ryushi postou uma declaração oferecendo ao dono do Twitter e CEO Elon Musk um acordo exclusivo. O hacker disse que tinha dados de mais de 400 milhões de contas de redes sociais – eles foram obtidos graças a uma vulnerabilidade descoberta em 2021 e hoje já encerrada. Caso contrário, o recurso está ameaçado de vazamento de dados, seguido de pesadas multas dos reguladores europeus.
Fonte da imagem: Twitter
De acordo com o Regulamento Geral de Proteção de Dados (RGPD), adotado na UE, o Twitter enfrenta uma multa multimilionária por fuga de informação, que é o que refere o hacker, referindo-se à liderança da rede social no fórum: “Sua melhor opção para evitar pagar a multa de US$ 276 milhões do GDPR é comprar dados exclusivamente”. Além disso, o chantagista deixou um link para uma página que explica exatamente como essas informações podem ser usadas por outros invasores – para ataques de phishing, fraude criptográfica e ataques do tipo BEC que envolvem a substituição de usuários legítimos por seus “clones”.
A postagem contém uma amostra de dados de 37 celebridades, incluindo celebridades, autoridades, políticos, jornalistas e empresários, além de detalhes de milhares de perfis de usuários comuns, incluindo endereços de e-mail, nomes, número de seguidores, datas de criação de contas e números de telefone. . Embora quase todos esses dados sejam públicos, endereços de e-mail e números de telefone geralmente são mantidos em sigilo.
Como os funcionários do portal BleepingComputer conseguiram descobrir pelo próprio Ryushi (talvez não estejamos falando de uma pessoa, mas de um grupo de pessoas), enquanto o Twitter está oferecendo a compra do banco de dados por $ 200.000, seguido de sua remoção por um chantagista. Se a proposta não for aceita, ela será vendida “no varejo” para diferentes pessoas, a $ 60.000 por cópia. Questionados sobre se o atacante contactou o Twitter, os jornalistas foram informados de que houve tentativas de estabelecer contactos, mas a rede social não respondeu à oferta.
O invasor confirmou que obteve números de telefone e endereços de e-mail graças a uma vulnerabilidade de API descoberta em 2021 e corrigida em janeiro de 2022. Anteriormente, acreditava-se que apenas 5,4 milhões de contas haviam vazado. O BleepingComputer relata que o teste de amostras mostrou a validade dos dados de pelo menos dois perfis. De acordo com os especialistas em segurança cibernética Hudson Rock, eles realizaram sua própria verificação e descobriram que as amostras publicadas em domínio público são reais. No entanto, a empresa enfatiza que ainda não é possível verificar se todos os 400 milhões de usuários estão no banco de dados.
A informação sobre o vazamento chegou em um momento desfavorável para a rede social: o regulador irlandês acabara de lançar uma investigação sobre a recente publicação de informações sobre 5,4 milhões de usuários roubados em 2021. Sabe-se que outro invasor afirmou ter roubado informações de 17 milhões perfis que ainda não estão à venda. No total, mais de 1 bilhão de contas estão registradas no Twitter.
Se você notar um erro, selecione-o com o mouse e pressione CTRL + ENTER.