Хакер выставил на продажу базу данных 400 млн пользователей Twitter, включая контактную информацию создателя Ethereum Виталика Бутерина, звезды телевизионного шоу Shark Tank Кевина О’Лири и миллиардера Марка Кьюбана. На это обратила внимание компания Hudson Rock.
BREAKING: Hudson Rock discovered a credible threat actor is selling 400,000,000 Twitter users data.
— Hudson Rock (@RockHudsonRock) December 24, 2022
The private database contains devastating amounts of information including emails and phone numbers of high profile users such as AOC, Kevin O'Leary, Vitalik Buterin & more (1/2). pic.twitter.com/wQU5LLQeE1
В опубликованном 23 декабря объявлении продавец утверждает, что получил данные в начале 2022 года из-за уязвимости в соцсети. База содержит имена, номера мобильных телефонов и адреса электронной почты.
Неизвестный предоставил фрагмент данных 1000 знаменитых пользователей в качестве образца. Он также предложил CEO Twitter Илону Маску выкупить базу во избежание ее продажи и выплаты последующих судебных штрафов за утечку на сумму $276 млн.
Hudson Rock не удалось полностью проверить утверждения хакера, учитывая количество учетных записей. При этом компания по обеспечению безопасности Web3 DeFiYield подтвердила «реальность» предоставленной продавцом информации.
Некоторые не поверили в возможность такой крупномасштабной утечки, поскольку текущее количество активных пользователей Twitter в месяц составляет около 450 млн.
Потенциально подобную информацию могут использовать для фишинга, подмены SIM-карт и доксинга.
There are some serious concerns with this.
— Haseeb Awan — efani.com (@haseeb) December 25, 2022
#1 — Identities of many pseudo accounts will be public, posing risks for them
#2 — With a phone number, it's super easy to find anyone's address and banking information.
#3 — Multiple phishing attempts via cellphone, physical, or email
Напомним, в конце ноября в Twitter подтвердили утечку данных 5,4 млн пользователей. Она была получена в декабре 2021 года с помощью уязвимости API, связанной с процессом авторизации на Android-клиенте, которая позволяла людям отправлять номера телефонов и адреса электронной почты для получения идентификатора Twitter.
Тот же эксплойт позволил создать дамп данных, предположительно содержащий более 17 млн записей.
Уязвимость исправили в январе 2022 года.