攻撃者は、約 4 億人の Twitter ユーザーのデータを盗み、有名人、政治家、企業などの個人情報を含むデータをダークウェブに出品して販売したと主張しました。
イスラエルのサイバーインテリジェンス企業ハドソンロックの報告書によると、盗まれたデータには、グーグルのCEOサンダー・ピチャイ、世界保健機関(WHO)、アメリカ航空宇宙局(NASA)などの著名なユーザーに関する情報が含まれていると主張されている。 、連邦情報放送省、ボリウッド俳優サルマン・カーンなど。
ハドソン・ロックはハッカーがデータ漏洩を暴露したツイッター投稿の画像を共有した。盗まれた 4 億人の Twitter ユーザーの個人データには、電子メール アドレス、名前、ユーザー名、フォロワー数、作成日、さらに場合によっては電話番号も含まれます。
速報: ハドソン ロックは、信頼できる攻撃者が 4 億件の Twitter ユーザー データを販売していることを発見しました。
プライベート データベースには、AOC、Kevin O'Leary、Vitalik Buterin などの有名ユーザーの電子メールや電話番号を含む、壊滅的な量の情報が含まれています (1/2)。pic.twitter.com/wQU5LLQeE1
— ハドソン・ロック (@RockHudsonRock)2022年12月24日
「Ryushi」というハンドル名で活動する攻撃者は、脆弱性を悪用してユーザーのデータが収集されたと述べています。
「私は脆弱性を利用して収集された 4 億人以上のユニークな Twitter ユーザーのデータを販売しています。このデータは 100% 機密です」とハッカーは投稿の中で主張しました。
流出したデータが本物であることを証明するために、攻撃者は大規模なサンプルの一部として 1,000 個のアカウントのサンプルを Breached ハッキング フォーラムに投稿しました。このフォーラムはハッカーがデータ侵害で盗んだユーザー データを販売するためによく使用するサイトです。
ハドソンロックはアカウントの数を考えるとハッカーの主張を完全に検証できていないが、漏洩したサンプルが正当であると思われることを独自に検証した。 Web3セキュリティ企業のDeFiYieldも、販売のために掲載されたサンプルデータが「本物」であることを検証した。
ハドソンロックの報道によると、ハッカーはヨーロッパのGDPRプライバシー法に基づく巨額の罰金を回避するために、TwitterのCEOイーロン・マスクとマイクロブログサイトにデータを購入する取引を持ちかけたと伝えられている。
「もしあなたがTwitterで働いているかイーロン・マスクであり、これを読んでいるなら、あなたはすでに5,400万人以上のユーザーのデータ漏洩に対してGDPR罰金の危険にさらされている。 4億ドルのデータ侵害により、制裁が課せられた」とハッカーは述べた。
「Facebook のように (5 億 3,300 万人のユーザーがスクレイピングされた) CDPR 侵害料金として 276 万ドルを支払わなくて済むようにしたいのであれば、このデータだけを購入するのが最善の策です。言い換えれば、彼は仲介者であれば誰とでも交渉する用意があるということだ。」
報告書によると、ハッカーは「取引」が仲介業者と仲介されても構わないとし、スレッドを削除し、データを二度と販売しないつもりだと述べている。
この攻撃者はさらに、Twitter が協力できなかった場合の結果を強調しました。データが他人に販売されると、多くの有名人や政治家がフィッシング、暗号通貨詐欺、Sim スワップ、Doxxing などにさらされ、Twitter に対する信頼が失われることになるからです。そして代替案を探すよう促します。
によるとピーピーコンピュータ、ハッカーは、Twitter データを 20 万ドルで 1 人の個人 / Twitter に独占的に提供し、その後データは削除されます。あるいは、独占取引がうまくいかなかった場合には、複数の購入者に 1 件の販売につき 6 万ドルを支払うと申し出ました。
Twitter ユーザーデータはどのようにハッキングされたのでしょうか?
ハドソンロックの報告書によると、ハッカーはTwitterのAPIの脆弱性が原因で2022年初頭にデータが取得されたと主張したが、現在は修正されている。以前、2022 年 8 月に同じ脆弱性が利用されて 540 万人以上の Twitter ユーザーのデータにアクセスされました。
「データは有効である可能性がますます高まっており、おそらく API の脆弱性から取得され、攻撃者が任意の電子メールや電話にクエリを実行して Twitter プロフィールを取得できるようになります。これは、私が 2021 年に最初に報告した Facebook 5 億 3,300 万データベースと非常によく似ています」その結果、メタ社には2億7,500万ドルの罰金が課せられた」とハドソン・ロックの共同創設者兼最高技術責任者(CTO)のアロン・ガル氏はLinkedInで述べた。
「これは、新たなリークに含まれるサンプルを、すでに公にリークされていた古い540万バージョンと比較することで簡単に反証されます。」ガルが説明した。
「1000個中250個は見つかります。 (認証されていないアカウントのサンプルであれば、カウントはもっと低かったでしょう) 私が持っている機密情報の一部を共有することはできませんが、時間が経つにつれて、これは 4 億ユーザーの漏洩であると確信するようになりました。残念ながら、すべてのハッカーの手に無料で漏洩することになります。」