Злоумышленник утверждает, что получил данные о 400 000 000 пользователей Twitter и выставил их на продажу. Продавец предоставил образец из 1000 учетных записей в качестве доказательства достоверности базы, которая включает персональную информацию известных личностей, таких как Дональд Трамп-младший, Виталий Бутерин, Брайан Кребс и другие.
Продавец по имени Рюши (Ryushi), утверждает, что данные были собраны с помощью уязвимости. Они включают:
- имена пользователей;
- электронные письма;
- номера телефонов знаменитостей, политиков, компаний, обычных пользователей.
Продавец также предлагает Twitter и Илону Маску купить данные, чтобы избежать судебных исков GDPR.
“Twitter или Илон Маск, если вы читаете это, вы уже рискуете получить штраф GDPR за 5,4 млн. нарушений, подразумевающих штраф за утечку данных 400 млн. пользователей. Ваш лучший способ избежать выплаты штрафа в размере $276 млн ( как это сделала Meta* ). за нарушение GDPR – это купить эти данные”, – заявил Рюши.
Продавец также сообщил, что продажа сопровождается услугой условного депонирования, предлагаемой администратором форума Breached под ником ” pompompurin “.
Вероятно, данные были получены из-за уязвимости API , позволяющей субъекту угрозы запрашивать любой адрес электронной почты/телефон и получать профиль Twitter”, – объяснил Алон Гал, соучредитель фирмы по анализу угроз Hudson Rock.
28 ноября этого года DPC обвинила Meta* Platforms Ireland Ltd. (MPIL) в нарушении правил GDPR – компания не обеспечила “защиту данных по умолчанию”. В результате утечки злоумышленник смог эксфильтровать личные данные 533 млн. пользователей . Комиссия оштрафовала Meta* на $275 млн ., а также потребовала принять меры по повышению кибербезопасности.
*Компания Meta и продукты компании (Instagram и Facebook) признаны экстремистскими организациями; их деятельность запрещена на территории РФ.