藉 API 漏洞不法得手,駭客揚言出售 4 億 Twitter 用戶個資

作者 | 發布日期 2022 年 12 月 27 日 13:25 | 分類 社群 , 網路 , 資訊安全 line share follow us in feedly line share
藉 API 漏洞不法得手,駭客揚言出售 4 億 Twitter 用戶個資


一名駭客威脅出售 2021 年透過 Twitter API 漏洞,收集超過 4 億 Twitter 用戶的公開和私人資料,要價 20 萬美元就全部出售。

名為 Ryushi 的駭客近日在 Breach 論壇發文,聲稱透過 API 漏洞收集超過 4 億 Twitter 用戶資料,更警告 Twitter 和馬斯克(Elon Musk),被歐盟以 GDPR(General Data Protection Regulation,一般資料保護規則)開罰前,趕緊買回這些資料。

Ryushi 寫道:「為了避免像 Facebook 支付 2.76 億美元 GD​​PR 罰款,最好方法就是買回這些資料。」

外洩用戶資料包括電子郵件地址、姓名、帳號名稱、跟隨者人數、帳號建立日期、電話號碼。所有洩露資料似乎都與電子郵件有關,許多用戶資料沒有電話號碼。雖然幾乎所有資料任何 Twitter 用戶都能透過平台公開取得,但電子郵件和電話號碼屬於私人資訊。

Ryushi 向外媒 BleepingComputer 表示,使用 Twitter 今年 1 月修復的 API 漏洞,收集私人電子郵件地址和電話號碼,這漏洞也與之前 540 萬用戶資料外洩事件有關。雖然 Twitter 修復漏洞,但現在確認已被多名駭客抓取私人資訊。

針對這次事件,BleepingComputer 只能初步確認 2 筆洩漏資料屬實。資安廠商 Hudson Rock 技術長 Alon Gal 表示,獨立核實洩露資料樣本似乎有效,但現階段無法完全驗證整個資料庫是否超過 4 億用戶。

(首圖來源:Unsplash