ИБ-исследователи пишут, что злоумышленник на хакерском форуме Breached заявляет, что располагает данными 400 000 000 пользователей Twitter и теперь пытается их продать. В качестве доказательства продавец опубликовал «пробник» с информацией 1000 учетных записей и раскрыл данные таких известных личностей как Дональд Трамп-младший, Виталик Бутерин, ИБ-журналист Брайан Кребс и так далее.
Хакер под ником Ryushi заявляет, что данные эти были украдены с помощью некой уязвимости, и дамп включает email-адреса и номера телефонов знаменитостей, политиков, компаний, рядовых пользователей, а также множество специальных юзернеймов.
Кроме того, продавец предлагает Twitter и Илону Маску выкупить данные, чтобы избежать судебных исков и крупных штрафов, связанных с нарушением GDPR.
«Twitter или Илон Маск, если вы это читаете, вам и так угрожает GDPR-штраф за 5,4 миллиона утечек, так представьте себе штраф за утечку данных 400 миллионов пользователей. Лучший способ избежать выплаты штрафов в размере 276 миллионов долларов США за нарушение GDPR (как это случилось с Facebook*, когда утекли данные 533 миллиона пользователей), — эксклюзивно выкупить эту информацию», — пишет злоумышленник.
Специалисты ИБ-компании Hudson Rock изучили заявления хакера и предоставленный им «пробник». По их словам, дамп выглядит настоящим и содержит «огромное количество информации, включая адреса электронной почты и номера телефонов известных пользователей, в том числе AOC, Кевина О'Лири, Виталика Бутерина и других».
При этом аналитики Hudson Rock считают, что утечка не связана с тем же багом в API, который ранее использовался злоумышленниками для кражи данных о 5,4 млн пользователей Twitter. Напомню, что в компании признали факт компрометации и заявили, что эта уязвимость была закрыта еще в январе 2022 года.
«Это легко опровергнуть, сравнив новые образцы со старой утечкой данных 5,4 млн пользователей, которая уже опубликована [в открытом доступе], — объясняет основатель и глава Hudson Rock Алон Гал. — Совпадений всего 250 из 1000 (их было бы еще меньше, если бы это была выборка неверифицированных учетных записей). Я не могу поделиться конфиденциальной информацией, которой располагаю, но все больше убеждаюсь, что утекли данные 400 000 000 пользователей, и, к сожалению, эти данные бесплатно попадут в руки всех хакеров подряд, как обычно и бывает».
UPD.
Злоумышленник сообщил журналистам издания Bleeping Computer, что предпочел бы продать данные Twitter эксклюзивно одному человеку или самой компании Twitter за 200 000 долларов, а затем удалить их. Если этого не произойдет, он готов продать копии дампа нескольким людям по 60 000 долларов за каждую.
* Принадлежит компании Meta, деятельность которой признанной экстремистской, и организация запрещена в России.