Twitter on a red background

攻撃者は、現在修正されている API の脆弱性を使用して、2021 年にスクレイピングされた 4 億人の Twitter ユーザーの公開および非公開データを販売していると主張しています。彼らは独占販売のために200,000ドルを要求しています.

申し立てられたデータ ダンプは、データ侵害で盗まれたユーザー データを販売するために一般的に使用されるサイトである Breached ハッキング フォーラムで、「Ryushi」という名前の脅威アクターによって販売されています。

攻撃者は、脆弱性を利用して 4 億人以上のユニークな Twitter ユーザーのデータを収集したと主張しました。彼らは、Elon Musk と Twitter に対して、ヨーロッパの GDPR プライバシー法の下で多額の罰金が科される前にデータを購入するよう警告しました。

「これを読んでいるTwitterまたはElon Muskは、5.4mの侵害でGDPRの罰金を科される危険にさらされている.

「フェイスブックが行ったような GDPR 違反の罰金で 2 億 7,600 万ドルを支払うのを避ける最善の選択肢は (5 億 3,300 万人のユーザーがスクレイピングされたため)、このデータを独占的に購入することです。」

4 億人の Twitter ユーザーのデータを販売するフォーラムの投稿
4 億人の Twitter ユーザーのデータを販売するフォーラムの投稿
ソース:

脅威アクターは、このデータがフィッシング攻撃、暗号詐欺、および BEC 攻撃のために他の脅威アクターによってどのように悪用される可能性があるかを説明する投稿にもリンクしています。

フォーラムの投稿には、Alexandria Ocasio-Cortez、Donald Trump JR、Mark Cuba、Kevin O’Leary、Piers Morgan など、37 人の有名人、政治家、ジャーナリスト、企業、政府機関のサンプル データが含まれています。さらに、1,000 の Twitter ユーザー プロファイルのより大きなサンプルが後でリークされました。

ユーザー プロファイルには、ユーザーの電子メール アドレス、名前、ユーザー名、フォロワー数、作成日、電話番号など、公開および非公開の Twitter データが含まれています。漏洩したプロファイルにはすべて電子メール アドレスが関連付けられているように見えますが、多くは電話番号を持っていません。

このデータのほとんどすべては Twitter ユーザーなら誰でもアクセスできますが、電話番号と電子メール アドレスは個人情報です。

脅威アクターのリュウシは、Twitter のデータを 1 人の人物 / Twitter に 20 万ドルで独占的に販売しようとしており、その後データを削除すると述べました。独占購入が行われない場合、1 販売あたり 60,000 ドルで複数の人にコピーを販売します。

データの身代金を要求するために Twitter に連絡したかどうかを尋ねられたとき、彼らは Twitter に連絡して電話をかけたが、応答がなかったと述べました。

修正された API の脆弱性を使用して収集されたデータ

攻撃者は、Twitter が 2022 年 1 月に修正した API の脆弱性を使用して個人の電話番号と電子メール アドレスを収集したことを確認しました。

この脆弱性により、ユーザーは電話番号と電子メール アドレスの大量のリストを Twitter API にフィードし、関連する Twitter ユーザー ID を受け取ることができました。次に、攻撃者はこの ID を別の IP と共に使用して、ユーザーのパブリック プロファイル データを取得し、パブリック データとプライベート データで構成される Twitter ユーザー プロファイルを作成しました。

「すでに 540 万件のデータ漏洩に使用されたのと同じエクスプロイトによってアクセスを取得しました。その販売者と話をしたところ、Twitter のログイン フローにあることが確認されました」と脅威アクターは .

「そのため、重複のチェックで、別の API を使用してユーザー名やその他の情報に変換したユーザー ID が漏洩しました。」

Twitter は 2022 年 1 月に脆弱性を修正しましたが、現在、複数の攻撃者が Twitter ユーザーから個人情報をスクレイピングするために使用されていることが確認されています。

この新しいリークに関しては、リークされた Twitter プロファイルのうち 2 つだけが有効であることを確認できました。

しかし、脅威インテリジェンス企業 Hudson Rock の Alon Gal は、漏洩したサンプルが正当なものであることを独自に検証したと述べています。

「注意してください: この段階では、データベースに実際に 4 億人のユーザーが存在することを完全に確認することはできません」 と Hudson Rock はツイートしました。

「独立した検証から、データ自体は正当であると思われ、今後の進展についてフォローアップします。」

EU のプライバシー監視機関であるアイルランド データ保護委員会 (DPC) は、2021 年に盗まれた 540 万件のユーザー レコードが最近公開されたことについて調査を開始しました。この脆弱性。

別の攻撃者も、この脆弱性を利用して 1,700 万人のユーザーのデータをスクレイピングしたと主張しています。ただし、このリークはまだ非公開であり、販売されていません.

は、このデータの販売に関してさらに質問をするために Twitter に連絡を取りましたが、応答はすぐには得られませんでした。