Os cibercriminosos estão a vender os dados públicos e privados de 400 milhões de utilizadores do Twitter num fórum de hackers. Para tal, estão a pedir 200.000 dólares.
De acordo com o site de notícias de segurança, os cibercriminosos, sob o nome Ryushi, colocaram os dados do Twitter à venda no fórum de hacking Breached. Os dados foram “eliminados” da plataforma social em 2021, explorando uma vulnerabilidade então existente. Esta vulnerabilidade foi corrigida no início deste ano. Apesar disto, a vulnerabilidade foi alegadamente muito explorada várias vezes.
A vulnerabilidade permitiu que os hackers introduzissem longas listas de números de telefone e endereços de e-mail numa API do Twitter. Receberam então aqui um ID de utilizador do Twitter correspondente. Os cibercriminosos utilizaram então esta identificação com outras informações para dar visibilidade aos dados de perfil público dos utilizadores. Desta forma, construíram um perfil de utilizador do Twitter contendo dados tanto públicos como privados.
Pressão sobre Elon Musk
Os cibercriminosos querem agora vender os dados públicos e privados roubados por 200.000 dólares. No seu posto, chamam principalmente ao dono do Twitter Elon Musk e ao próprio Twitter para responder. Caso contrário, o Twitter poderia muito provavelmente enfrentar pesadas multas por parte dos reguladores se estes dados vazassem de facto.
Além disso, os hackers também fornecem uma ligação a um posto que descreve como outros cibercriminosos podem usar indevidamente os dados em campanhas de phishing, esquemas criptográficos e ataques BEC.
Outras violações de dados
Esta última violação de dados surge num momento desfavorável para o Twitter. Além de toda a turbulência que a rede social está actualmente a atravessar, a Comissão Irlandesa de Proteção de Dados (DPC), o regulador de privacidade da Irlanda, lançou recentemente uma investigação sobre uma anterior violação de dados do Twitter. Isto envolveu a publicação de dados de 5,4 milhões de utilizadores, sendo roubados em 2021. A vulnerabilidade do Twitter também foi utilizada para esta violação.
Além disso, outro cibercriminoso afirma ter roubado os dados de 17 milhões de utilizadores finais através da vulnerabilidade. Até agora, estes dados não foram tornados públicos nem colocados à venda.