Hacker coloca à venda supostos dados do Twitter

envolvido-no-ataque-ao-twitter-em-2020-foi-condenado-a-cinco-anos-de-prisao-por-crimes-ciberneticos

Um hacker afirma estar vendendo dados públicos e privados de 400 milhões de usuários do Twitter. Esses dados teriam sido obtidos em 2021 usando uma vulnerabilidade de API agora corrigida.

O hacker está pedindo $ 200.000 (mais de R$ 1 milhão) por uma venda exclusiva. O vendedor é chamado Ryushi no fórum de hackers Breached, um site comumente usado para vender dados de usuários roubados em violações de dados.

Dados do Twitter sendo vendidos em site de hackers

O agente da ameaça alegou ter coletado os dados de mais de 400 milhões de usuários únicos do Twitter usando uma vulnerabilidade. Inclusive, eles alertaram Elon Musk e o Twitter de que deveriam comprar os dados antes que isso levasse a uma grande multa sob a lei de privacidade GDPR da Europa.

“Twitter ou Elon Musk, se você está lendo isso, já está arriscando uma multa de 5,4 milhões de violação do GDPR, imaginando a multa de 400 milhões de usuários”, escreveu Ryushi em um post no fórum.

hacker-coloca-a-venda-supostos-dados-do-twitter
Imagem: Reprodução | Bleeping Computer

O agente da ameaça também vinculou a uma postagem explicando como esses dados podem ser abusados por outros agentes de ameaças para ataques de phishing, golpes de criptografia e ataques BEC.

A postagem no fórum

A postagem do fórum inclui dados de amostra para trinta e sete celebridades, políticos, jornalistas, corporações e agências governamentais, incluindo Alexandria Ocasio-Cortez, Donald Trump JR, Mark Cuba, Kevin O’Leary e Piers Morgan.

Além disso, uma amostra maior de 1.000 perfis de usuários do Twitter vazou posteriormente. Esses perfis de usuário contêm dados públicos e privados do Twitter, incluindo endereços de e-mail, nomes, nomes de usuários, contagem de seguidores, data de criação e números de telefone dos usuários. Embora todos os perfis vazados pareçam ter endereços de e-mail associados a eles, muitos não têm números de telefone.

Embora quase todos esses dados sejam acessíveis publicamente a qualquer usuário do Twitter, números de telefone e endereços de e-mail são informações privadas.

O ator da ameaça Ryushi disse ao BleepingComputer que eles estão tentando vender os dados do Twitter exclusivamente para uma única pessoa/Twitter por US$ 200.000 e, em seguida, excluirão os dados.

Se uma compra exclusiva não for feita, eles venderão cópias para várias pessoas por $ 60.000 (quase R$ 317 mil) por venda.

Quando questionados se entraram em contato com o Twitter para resgatar os dados, eles disseram ao BleepingComputer que entraram em contato com o Twitter e fizeram ligações, mas não receberam resposta.