整理 | 何苗
出品 | CSDN(ID:CSDNnews)
上周五,一个用户名为 Ryushi 的用户在黑客论坛 Breached 上发布了一个帖子声称,已成功利用漏洞抓取了超 4 亿 Twitter 用户数据并在线出售。
为了证明数据的真实性,帖子中直接分享了37 人的个人数据,其中包括美国*党* AOC(Alexandria Ocasio-Cortez)、以太坊加密货币创始人 V 神等知名用户的私人信息。示例数据包含以下信息:电子邮件、姓名、用户名、关注者数量、创建日期,甚至还有用户的电话号码。
此外,黑客还提供了 1000 个账户的样本作为证明,他嚣张建议 Twitter 或马斯克花钱购买该数据库,否则他们将会面临巨额罚款,不过如果 Twitter 购买的话将会停止出售。
携 Twitter 数据以勒索马斯克
该黑客自爆利用的是今年早些时候已经修补的漏洞。上个月,一个包含 540 万 Twitter 账号的数据库在黑客论坛免费共享,而这次黑客售卖的数据规模则包含了绝大部分 Twitter 用户。
没有最嚣张,只有更嚣张。
这名黑客还向马斯克进行喊话:建议通过中间人交易,并表示这次销售由 Breached 论坛管理员提供的托管服务所涵盖。
“你的最佳选择是独家购买这些数据...... 之后我将删除此线程并且不会再出售此数据给任何其他人。这将防止很多名人和政客被钓鱼、加密货币诈骗、Sim swapping、Doxxing以及其他会让你的用户对你的公司失去信任的事情,以免阻碍你目前的增长和炒作。你还可以想象著名的内容创作者和有影响力的人在 Twitter 上遭到黑客攻击,这肯定会让他们放弃这个平台,毁掉你为内容创作者建立提供 Twitter 视频共享平台的梦想;也是因为你改变 Twitter 政策,犯了错误得到巨大的反弹。如果你不确定,就像往常一样在 Twitter 上进行投票,人们会选择他们的命运。因为归根结底,这些数据被泄露是公司的错。”
该黑客还列举了此前 Facebook 因数据泄露被罚款的例子:2021 年 4 月,一名黑客利用漏洞窃取了 5.33 亿 Facebook 用户数据。2022 年 11 月 28 日,Facebook 的母公司 Meta 被爱尔兰数据保护委员会(DPC)处以 2.35 亿欧元(约合近 20 亿人民币)的罚款。
Twitter 不断发生监管危机
事实上,爱尔兰数据保护委员会早已针对 8 月份的数据泄露事件对Twitter展开调查,那次事件据说已经影响到 540 万 Twitter 用户。
而最先注意到这个“勒索”帖子的以色列网络情报公司 Hudson Rock 创始人表示:“这些数据越来越有可能是有效的,可能是从一个 API 漏洞中获得的,使威胁者能够查询任何电子邮件/电话并检索到 Twitter 的资料,这与我最初在2021年报告的Facebook 533m数据库极为相似,这导致了Meta公司的275,000,000美元罚款。”
Twitter 在安全和隐私方面的监管压力越来越大。2020 年 7 月,Twitter 就曾发生一次被称为史上「最大的安全事件」,比尔·盖茨、特斯拉 CEO 马斯克、美国前副总统拜登、币安赵长鹏、波场孙宇晨、苹果、Coinbase、Ripple 等多个推特账户遭遇黑客攻击。
今年 9 月,Twitter 前网络安全主管 PeiterZatko 举报,Twitter 除了存在安全漏洞,还缺乏对用户数据的管理,比如公司里的工程师只了解其中 20% 的数据是什么、为什么要收集。
当时美国联邦贸易委员会(FTC)主席莉娜·汗(Lina Khan)表示,她和她的团队将采取更为严厉措施落实与 Twitter 达成的保护用户个人信息的协议。
一波未平一波又起,就在几个月前,Twitter 与美国联邦贸易协定签订了一项同意令,约定在未来 20 年内维持一项隐私和信息安全计划。为此 Twitter 还支付了 1.5 亿美元的民事罚款。目前该机构也在加紧调查该公司是否遵守了命令。
针对此次黑客勒索事件,爱尔兰数据保护机构表示,Twitter 显然违反了《通用数据保护条例》的规定,该条例是欧洲的隐私法规,通常与巨额罚款挂钩。如果黑客所盗数据得到证实,将是对 Twitter 及其首席执行官马斯克的沉重打击。
你认为马斯克会买“数据”消灾吗?
参考来源
https://breached.vc/Thread-Selling-Twitter-Data-Breach-400-million-users
https://www.solidot.org/story?sid=73753
https://cybersecurityworldconference.com/2022/12/25/data-of-400-million-twitter-users-up-for-sale/
https://www.govinfosecurity.com/hacker-claims-to-have-scraped-400m-twitter-user-records-a-20801