2億推特用戶電郵資料流入駭客論壇僅賣2美元
繼去年底有人揚言要出售推特用戶資料後,超過2億筆推特用戶電子郵件帳號被人放上駭客論壇銷售,只賣2美元。
上周有人宣稱手中握有4億筆用戶資料,並揚言出售之後。不確定本周公布的資料和上周是否有關。
這些資料可能都是拜推特一個Web API漏洞,讓攻擊者得以進行網頁資料抓取(web scraping)。去年7月首先有研究人員發現,駭客論壇上有人兜售540萬筆推特用戶電話及電子郵件帳號。11月另一名研究人員卻在駭客論壇上發現高達1,700多萬筆資料待價而沽。,兩批資料其實是同一批外洩資料,但並未說明總共外洩的資料筆數有多少。
12月銷售推特用戶資料的人呼籲推特公司及執行長馬斯克出手買下資料,以避免重蹈和Meta一樣被歐盟罰款的命運。
針對推特這幾次資料外洩,推特是否違反了歐盟隱私法GDPR。
駭客宣稱取得4億筆推特用戶資料,並高調出售
有人在駭客論壇聲稱,已利用推特今年被揭露的一項API漏洞,取得4億筆推特(Twitter)用戶個資,並要求推特公司買回以免遭歐盟處罰。
報導指出,名為Ryushi的人士在Breached駭客論壇貼出公告,聲稱手中握有4億筆推特資料,包括電子郵件、姓名、電話號碼等,開價20萬美元公開出售。這名駭客並直接向推特及執行長馬斯克(Elon Musk)放話指出,先前的 540萬筆資料外洩已引來歐盟調查,可以想見4億筆個資的後果。為了免於如同臉書5.33億筆被資料抓取(web scraping)的鉅額罰款命運,他們最好的選擇是獨家買下這批資料。
這名駭客還列出了30多位名人、政治人物、知名公司如美國前總統川普、加拿大企業家Kevin O’Leary、電視名人Piers Morgan及創投家Mark Cuba的資料,包括電話、電子郵件、粉絲數、帳號建立日期等。BleepingComputer報導,這名駭客之後也公佈了約1,000名推特用戶的個人檔案。
本案是推特資料外洩案的最新進展。今年7月先是有研究人員發現一名人士在地下網站兜售540萬筆推特用戶個資,11月另一名研究人員發現1,700萬筆用戶資料,懷疑事情不單純,可能外洩幅度比之前所知更大,或是有另一次外洩。但兩次的發現,資料其實來自同一批,並沒有另一次外洩。
他們是在去年利用推特平臺漏洞,蒐集到推特用戶電話、電子郵件。
這項漏洞出在Twitter API上,允許某人餵大量電話號碼及電子郵件到API後接獲用戶ID。攻擊者之後即可利用ID和IP位址從推特網站取得公開資料,並建立該用戶的個人資料。Ryushi說他是從去年外洩540萬筆個資的駭客獲得對推特流程的了解,用的也是相同手法。然後將取得的用戶ID以另一個API抓出用戶名稱和其他資料。這漏洞類似去年臉書遭人從網頁抓取公開資料,導致5.33億筆用戶個資外流。
該漏洞今年8月才因資料外洩案曝光,當時推特說漏洞已在今年1月修補。最新事件顯示,在修補之前,已有多組人馬相繼濫用了Twitter API漏洞。
本案可能使推特面臨更大的行政壓力。臉書才因去年5.33億的資料抓取外洩遭到及當局的調查。推特目前暫未對此回應。
