Hacker afirma haber robado datos personales de más de 400 millones de usuarios de Twittery exige $200,000 para venderlos en exclusiva.
Celebridades entre las víctimas
presentándose como » Ryushi », el ciberdelincuente explica que puso los datos a la venta en un foro de hackersjunto con un enlace que explica cómo pueden explotarse para ataques de phishing o estafas de criptomonedas.
Según el hacker, la información contiene direcciones de correo electrónico, nombres, nombres de usuario, número de seguidores, fecha de creación y números de teléfono usuarios Aunque todos los perfiles filtrados parecen estar asociados con direcciones de correo electrónico, muchos de ellos no incluyen números de teléfono. computadora pitido. Entre los 400 millones de cuentas, hay muchas personalidades famosas, como Alexandria Ocasio-Cortez, Donald Trump Jr, Piers Morgan o Sundar Pichai.
Para robarlos, el ciberdelincuente aprovechó una vulnerabilidad de API en 2021. Twitter lo resolvió en enero de 2022. Permite que alguien ingrese grandes listas de números de teléfono y direcciones de correo electrónico en una API de Twitter y reciba una identificación de usuario asociada. Luego, el pirata informático usó este identificador junto con otra dirección IP para recuperar los datos del perfil público de los usuarios.
El hacker aconseja a Twitter que compre los datos
El hacker habla directamente con Elon Musk y le aconseja que compre los datos por 200.000 dólares para evitar una multa récord de la Unión Europea en virtud del RGPD.. Cita en particular la importante fuga de datos que se produjo en Facebook el año pasado, que afectaba a 533 millones de usuarios y por la que la red social recibió una multa récord de la UE.
Explica además que la vulnerabilidad ha sido explotada previamente para robar información de 5,3 millones de perfiles en Twitter; la Agencia Irlandesa de Protección de Datos (DPC) inició recientemente una investigación sobre este. » Twitter o Elon Musk si estás leyendo esto, ya te estás arriesgando a una multa de GDPR escribe Ryushi en el foro. » Su mejor opción para evitar pagar $276 millones en multas por violaciones de GDPR como lo hizo Facebook (debido a 533 millones de usuarios afectados) es comprar esos datos exclusivamente «, él continúa.
Explica además que si nadie desea obtener los datos exclusivamente, luego venderá copias de muestra a $ 60,000 para cada comprador.
Mala publicidad que la red social no necesita
Para demostrar la veracidad de sus declaraciones, el ciberdelincuente publicó los datos de muestra de 37 celebridades, así como 1.000 perfiles de usuario. Alon Gal, de la firma de inteligencia de ciberseguridad Hudson Rock, dijo que investigó de forma independiente si las muestras filtradas eran legítimas. Esto es lo que dice en Twitter:
“Tenga en cuenta: en esta etapa, no es posible verificar completamente que haya 400,000,000 de usuarios en la base de datos. Según la verificación independiente, los datos en sí parecen ser legítimos y seguiremos cualquier desarrollo”.
Este caso cae muy mal para Twitter que atraviesa momentos difíciles económicamenteTanto es así que su director general, Elon Musk, está intensificando medidas drásticas para reducir los gastos de la compañía.