骇客以 20 万美元的产品价格转卖 4 亿twitter使用者统计数据。
日前,有名叫 Ryushi 的骇客在高峰论坛以 20 万美元的产品价格转卖 4 亿twitter使用者统计数据,包涵申明和个人隐私统计数据。骇客称那些统计数据是透过twitter的两个 API 安全漏洞来以获取的。
骇客向特斯拉和twitter敲诈,称其应该在欧洲联盟 GDPR 罚金以后买回那些统计数据。因为以后 Facebook 5.33 亿使用者统计数据外泄被 GDPR 法律条文罚金,因此骇客向twitter敲诈 2.76 万美元的巨款。
图 骇客在高峰论坛转卖 4 亿twitter使用者统计数据
骇客说明了那些统计数据的潜在性商业用途,普通用户借助那些统计数据能实现钓反击、身份校正汇率流氓软件、BEC 反击等。
骇客还正式发布了样本统计数据,当中包涵 37 个名流、当权者、记者除此之外,还有 1000 个twitter使用者概要重要信息外泄。
使用者重要信息中既主要包括申明和个人隐私的twitter使用者统计数据,主要包括使用者超链接、联系电话、使用者名、高度关注者数目、建立年份、联络方式。外泄的使用者概要重要信息中都关连了邮箱,但许多帐户并没有电话号码。
虽然外泄的使用者统计数据都是申明可出访的,但电话号码和邮箱归属于个人隐私重要信息。
Ryushi 称其方案将这 4 亿使用者统计数据以 20 万美元的产品价格排斥地转卖给两个人或twitter,接着将删掉那些统计数据。如果转卖不赢得成功,将以 6 万美元的产品价格转卖给数个使用者。在问到与否联络twitter缴付巨款时,Ryushi 称其已经联络了twitter,但仍未得到申明。
普通用户称那些统计数据是透过两个twitter API 安全漏洞来搜集的。该安全漏洞容许使用者向twitter API 输出联络方式和邮箱,就能赢得相关联的twitter使用者 id。接着普通用户借助该 id 和 IP 来以获取使用者的申明个人概要统计数据,将twitter使用者的申明统计数据和个人隐私统计数据关连在一同。
twitter拟于 2022 年 1 月复原了该安全漏洞。但以后已近数名骇客借助该安全漏洞截取了twitter使用者统计数据,当中有骇客转卖了超过 540 万使用者统计数据。
严重威胁情报部门公司 Hudson Rock 的研究相关人员 Alon Gal 校正了外泄的样本统计数据,并确认了样本统计数据的准确性。但称目前还难以全然确认统计资料库中 4 亿使用者统计数据的准确性。
此前twitter已证实了 API 安全漏洞问题。但截止目前,twitter未对本次统计数据外泄事件进行回应。