日前，一名名叫“Ryushi”的骇客以20万美元的购回产品价格独家代理在骇客高峰论坛上转卖4亿Twitter使用者的公用和商业机构统计数据（主要包括商业机构号码和电子邮件地址），这名骇客宣称那些统计数据是2021年借助两个也已复原的Twitter安全漏洞截取的。

这名骇客还警示sert·特斯拉（Elon Musk）和Twitter，她们假如在西欧GDPR个人隐私法送出大笔传票以后买回那些统计数据：

“Twitter或Elon Musk，假如你已经开始写作这首诗，要防止像Facebook那般缴付2.76万美元的GDPR违法罚金（因5.33亿使用者统计数据外泄），最合适的优先选择是专门针对买回那些统计数据。”

骇客还镜像到两个回帖，说明了那些（外泄的Twitter使用者）

外泄统计数据

的准确性获得先期校正

Ocasio-Cortez、汤玛斯·奥巴马、JR、Mark Cuba、Kevin OLeary和Piers Morgan。随即，骇客又发布了两个包涵1000个Twitter使用者facai的Villamblard样品。

已外泄的使用者facai包涵公用和商业机构Twitter使用者统计数据，主要包括使用者的电子邮件地址、联系电话、使用者名、高度关注者数目、建立年份和号码。虽然大部份外泄的facai或许都有与之关连的电子邮件地址，但很多facai没电话号码。

虽然外泄的那些Twitter使用者统计数据大多数都是公开可访问统计数据，但号码和电子邮件地址属于商业机构信息。

威胁情报公司Hudson Rock的Alon Gal表示，她们独立校正了外泄的Twitter使用者统计数据样品的准确性。

“请注意：在这个阶段，不可能完全校正统计数据库中确实有4亿名使用者，”Hudson Rock发推文说道：“从独立校正来看，统计数据本身或许是真实的，我们将跟进事件进展。”

根据BleepingComputer的报道，骇客Ryushi计划以20万美元的产品价格将Twitter统计数据独家代理转卖给个人买家或Twitter，然后将删除那些统计数据。假如没进行独家代理买回，骇客将以每次销售6万美元的产品价格将副本出售给多人。

同两个API安全漏洞

导致多次大规模统计数据外泄

骇客在回帖中透露借助了Twitter于2022年1月复原的API安全漏洞截取了大量使用者商业机构号码和电子邮件地址，该安全漏洞也与此前的540万Twitter使用者统计数据外泄事件有关。

此安全漏洞允许使用者将大量号码和电子邮件地址列表输入Twitter API，并接收关连的Twitter使用者ID。然后，骇客将此ID与IP一起使用，以检索使用者的公用facai统计数据，从而构建由公用和商业机构统计数据组成的Twitter使用者facai。

虽然Twitter在2022年1月复原了该安全漏洞，但现在已经确认它已被多个骇客用来截取Twitter使用者的商业机构信息。

4亿使用者统计数据的大规模泄漏对Twitter来说可谓雪上加霜，因为欧盟个人隐私监管机构爱尔兰统计数据保护委员会（DPC）刚启动调查2021年借助同两个安全漏洞外泄的540万条Twitter使用者记录。

此外，今年11月安全研究人员Chad Loder曾透露有骇客借助同两个安全漏洞截取了1700万Twitter使用者的统计数据，但该统计数据尚未完成转卖。