上周五，一個(gè)用戶名為Ryushi 的用戶在黑客論壇 Breached 上發(fā)布了一個(gè)帖子聲稱，已成功利用漏洞抓取了超4億?Twitter?用戶數(shù)據(jù)并在線出售。

為了證明數(shù)據(jù)的真實(shí)性，帖子中直接分享了37人的個(gè)人數(shù)據(jù)，其中包括美國民主黨議員 AOC（Alexandria Ocasio-Cortez）、以太坊加密貨幣創(chuàng)始人 V 神等知名用戶的私人信息。示例數(shù)據(jù)包含以下信息:電子郵件、姓名、用戶名、關(guān)注者數(shù)量、創(chuàng)建日期，甚至還有用戶的電話號(hào)碼。

此外，黑客還提供了1000個(gè)賬戶的樣本作為證明，他囂張建議 Twitter 或馬斯克花錢購買該數(shù)據(jù)庫，否則他們將會(huì)面臨巨額罰款，不過如果 Twitter 購買的話將會(huì)停止出售。

攜 Twitter 數(shù)據(jù)以勒索馬斯克

該黑客自爆利用的是今年早些時(shí)候已經(jīng)修補(bǔ)的漏洞。上個(gè)月，一個(gè)包含540萬 Twitter 賬號(hào)的數(shù)據(jù)庫在黑客論壇免費(fèi)共享，而這次黑客售賣的數(shù)據(jù)規(guī)模則包含了絕大部分 Twitter 用戶。

沒有最囂張，只有更囂張。

這名黑客還向馬斯克進(jìn)行喊話:建議通過中間人交易，并表示這次銷售由 Breached 論壇管理員提供的托管服務(wù)所涵蓋。

“你的最佳選擇是獨(dú)家購買這些數(shù)據(jù)…… 之后我將刪除此線程并且不會(huì)再出售此數(shù)據(jù)給任何其他人。這將防止很多名人和政客被釣魚、加密貨幣詐騙、Sim swapping、Doxxing以及其他會(huì)讓你的用戶對(duì)你的公司失去信任的事情，以免阻礙你目前的增長和炒作。你還可以想象著名的內(nèi)容創(chuàng)作者和有影響力的人在 Twitter 上遭到黑客攻擊，這肯定會(huì)讓他們放棄這個(gè)平臺(tái)，毀掉你為內(nèi)容創(chuàng)作者建立提供 Twitter 視頻共享平臺(tái)的夢(mèng)想;也是因?yàn)槟愀淖?Twitter 政策，犯了錯(cuò)誤得到巨大的反彈。如果你不確定，就像往常一樣在 Twitter 上進(jìn)行投票，人們會(huì)選擇他們的命運(yùn)。因?yàn)闅w根結(jié)底，這些數(shù)據(jù)被泄露是公司的錯(cuò)。”

該黑客還列舉了此前 Facebook 因數(shù)據(jù)泄露被罰款的例子:2021年4月，一名黑客利用漏洞竊取了5.33億 Facebook 用戶數(shù)據(jù)。2022年11月28日，F(xiàn)acebook 的母公司 Meta 被愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)（DPC）處以2.35億歐元(約合近20億人民幣)的罰款。

Twitter 不斷發(fā)生監(jiān)管危機(jī)

事實(shí)上，愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)早已針對(duì)8月份的數(shù)據(jù)泄露事件對(duì)Twitter展開調(diào)查，那次事件據(jù)說已經(jīng)影響到540萬 Twitter 用戶。

而最先注意到這個(gè)“勒索”帖子的以色列網(wǎng)絡(luò)情報(bào)公司 Hudson Rock 創(chuàng)始人表示:“這些數(shù)據(jù)越來越有可能是有效的，可能是從一個(gè) API 漏洞中獲得的，使威脅者能夠查詢?nèi)魏坞娮余]件/電話并檢索到 Twitter 的資料，這與我最初在2021年報(bào)告的Facebook533m數(shù)據(jù)庫極為相似，這導(dǎo)致了Meta公司的275，000，000美元罰款?！?/p>

Twitter 在安全和隱私方面的監(jiān)管壓力越來越大。2020年7月，Twitter就曾發(fā)生一次被稱為史上「最大的安全事件」，比爾·蓋茨、特斯拉 CEO 馬斯克、美國前副總統(tǒng)拜登、幣安趙長鵬、孫宇晨、蘋果、Coinbase、Ripple 等多個(gè)推特賬戶遭遇黑客攻擊。

今年9月，Twitter 前網(wǎng)絡(luò)安全主管 PeiterZatko 舉報(bào)，Twitter 除了存在安全漏洞，還缺乏對(duì)用戶數(shù)據(jù)的管理，比如公司里的工程師只了解其中20% 的數(shù)據(jù)是什么、為什么要收集。

當(dāng)時(shí)美國聯(lián)邦貿(mào)易委員會(huì)（FTC）主席莉娜·汗(Lina Khan)表示，她和她的團(tuán)隊(duì)將采取更為嚴(yán)厲措施落實(shí)與 Twitter 達(dá)成的保護(hù)用戶個(gè)人信息的協(xié)議。

一波未平一波又起，就在幾個(gè)月前，Twitter 與美國聯(lián)邦貿(mào)易協(xié)定簽訂了一項(xiàng)同意令，約定在未來20年內(nèi)維持一項(xiàng)隱私和信息安全計(jì)劃。為此 Twitter 還支付了1.5億美元的民事罰款。目前該機(jī)構(gòu)也在加緊調(diào)查該公司是否遵守了命令。

針對(duì)此次黑客勒索事件，愛爾蘭數(shù)據(jù)保護(hù)機(jī)構(gòu)表示，Twitter 顯然違反了《通用數(shù)據(jù)保護(hù)條例》的規(guī)定，該條例是歐洲的隱私法規(guī)，通常與巨額罰款掛鉤。如果黑客所盜數(shù)據(jù)得到證實(shí)，將是對(duì) Twitter 及其首席執(zhí)行官馬斯克的沉重打擊。

你認(rèn)為馬斯克會(huì)買“數(shù)據(jù)”消災(zāi)嗎?

參考來源

https://breached.vc/Thread-Selling-Twitter-Data-Breach-400-million-users

https://www.solidot.org/story?sid=73753

https://cybersecurityworldconference.com/2022/12/25/data-of-400-million-twitter-users-up-for-sale/

https://www.govinfosecurity.com/hacker-claims-to-have-scraped-400m-twitter-user-records-a-20801