Um hacker afirma estar vendendo dados públicos e privados de 400 milhões de usuários do Twitter. Esses dados teriam sido obtidos em 2021 usando uma vulnerabilidade de API agora corrigida.
O hacker está pedindo $ 200.000 (mais de R$ 1 milhão) por uma venda exclusiva. O vendedor é chamado Ryushi no fórum de hackers Breached, um site comumente usado para vender dados de usuários roubados em violações de dados.
Dados do Twitter sendo vendidos em site de hackers
O agente da ameaça alegou ter coletado os dados de mais de 400 milhões de usuários únicos do Twitter usando uma vulnerabilidade. Inclusive, eles alertaram Elon Musk e o Twitter de que deveriam comprar os dados antes que isso levasse a uma grande multa sob a lei de privacidade GDPR da Europa.
“Twitter ou Elon Musk, se você está lendo isso, já está arriscando uma multa de 5,4 milhões de violação do GDPR, imaginando a multa de 400 milhões de usuários”, escreveu Ryushi em um post no fórum.
O agente da ameaça também vinculou a uma postagem explicando como esses dados podem ser abusados por outros agentes de ameaças para ataques de phishing, golpes de criptografia e ataques BEC.
A postagem no fórum
A postagem do fórum inclui dados de amostra para trinta e sete celebridades, políticos, jornalistas, corporações e agências governamentais, incluindo Alexandria Ocasio-Cortez, Donald Trump JR, Mark Cuba, Kevin O’Leary e Piers Morgan.
Notícias Relacionadas
Segurança cibernética
Violação de dados na Ford: o papel do fornecedor terceirizado
Uma violação de dados na Ford expôs 44 mil registros, mas a empresa confirmou que seus sistemas e dados de clientes permanecem seguros.
Ataque cibernético
Hackers chineses exploram falha zero-day do Fortinet VPN para roubo de credenciais
Hackers chineses exploram vulnerabilidade zero-day no FortiClient VPN para roubar credenciais, com o uso de ferramentas avançadas como DeepData.
Além disso, uma amostra maior de 1.000 perfis de usuários do Twitter vazou posteriormente. Esses perfis de usuário contêm dados públicos e privados do Twitter, incluindo endereços de e-mail, nomes, nomes de usuários, contagem de seguidores, data de criação e números de telefone dos usuários. Embora todos os perfis vazados pareçam ter endereços de e-mail associados a eles, muitos não têm números de telefone.
Embora quase todos esses dados sejam acessíveis publicamente a qualquer usuário do Twitter, números de telefone e endereços de e-mail são informações privadas.
O ator da ameaça Ryushi disse ao BleepingComputer que eles estão tentando vender os dados do Twitter exclusivamente para uma única pessoa/Twitter por US$ 200.000 e, em seguida, excluirão os dados.
Se uma compra exclusiva não for feita, eles venderão cópias para várias pessoas por $ 60.000 (quase R$ 317 mil) por venda.
Quando questionados se entraram em contato com o Twitter para resgatar os dados, eles disseram ao BleepingComputer que entraram em contato com o Twitter e fizeram ligações, mas não receberam resposta.
