Компанія з кібербезпеки Hudson Rock повідомила, що хтось продає особисту інформацію 400 мільйонів користувачів Twitter на чорному ринку.
Підозрюваний хакер звернувся до Ілона Маска та інших, щоб домовитися про викуп.
Hudson Rock зазначає, що база користувачів містить інформацію про таких знаменитостей, як засновник Ethereum (ETH) Віталік Бутерін, конгресмен США Окасіо-Кортез та інвестор Кевін О’Лірі.
BREAKING: Hudson Rock discovered a credible threat actor is selling 400,000,000 Twitter users data.
The private database contains devastating amounts of information including emails and phone numbers of high profile users such as AOC, Kevin O’Leary, Vitalik Buterin & more (1/2). pic.twitter.com/wQU5LLQeE1
— Hudson Rock (@RockHudsonRock) December 24, 2022
Hudson Rock зазначає, що база даних містить «величезну кількість» електронних адрес, номерів телефонів та іншої інформації.
Співзасновник Hudson Rock Аарон Галл припускає, що хакери отримали доступ до інформації через уразливість API, яка дозволяла їм переглядати профілі, вводячи електронну пошту тощо.
Згідно з власною перевіркою Hudson Rock, самі дані вважаються законними. Однак, на даному етапі неможливо підтвердити, чи справді інформація про 400 мільйонів людей існує в базі даних витоку.
Крім того, оскільки Twitter наразі має приблизно 450 мільйонів активних користувачів щомісяця, є ті, хто ставить під сумнів достовірність масштабу витоку інформації.
Анонім, що володіє базою даних, стверджує:
«Ми продамо дані понад 400 мільйонів користувачів Twitter, які нам вдалося вкрасти через уразливість. Ці дані включають особисту інформацію знаменитостей, політиків, компаній і звичайних користувачів».
Анонім також погрожує Twitter та Ілону Маску, що сплата викупу — найкращий варіант, якщо вони не хочуть, щоб Facebook оштрафували за порушення Загального регламенту захисту даних (GDPR).
Якщо пан Маск заплатить викуп, дані будуть видалені та не будуть продані нікому іншому.
Як передісторія, ірландський орган захисту інформації заявив у листопаді, що Meta, компанія, яка керує Facebook, неправильно керувала особистою інформацією, і що дані 500 мільйонів користувачів були вкрадені.
На момент написання статті жодної офіційної відповіді від Маска не було підтверджено.
Що таке GDPR
Це загальний регламент захисту даних. У 2018 році він був запроваджений як закон, застосовний до кожної країни ЄС щодо захисту особистої інформації. Він також визначає обов’язки, які повинен виконувати контролер персональних даних.
DeFiYield також перевірила дані
Сьогодні інвестиційна платформа DeFi DeFiYield повідомляє, що зв’язалася з хакерами.
🚨 400 MILLION TWITTER ACCOUNTS DATA HAS LEAKED!!! 🚨
⚡️ EVERY TWITTER ACCOUNT INCLUDES: email, phone number, and username!
🚨 WE GOT IN TOUCH WITH HACKER 👇 pic.twitter.com/zL2SdLrbYn
— DeFiYield 🛡️ Web 3 Security (@DefiyieldSec) December 25, 2022
Після перевірки інформації про 1000 облікових записів, наданих хакерами як зразки, компанія повідомила, що значна частина витоку інформації, як-от адреси електронної пошти та номери телефонів, була справжньою.
DeFiYield закликає користувачів Twitter посилити заходи безпеки.
Зокрема, “Увімкнути двофакторну автентифікацію”, “Не використовувати менеджери паролів”, “Установити ліміти зняття коштів для всіх дебетових і кредитних карток”, “Усунути можливості використання карток в Інтернеті”.