No fórum de hackers Breach, Ryushi postou uma declaração oferecendo ao dono do Twitter e CEO Elon Musk um acordo exclusivo. O hacker disse que tinha dados de mais de 400 milhões de contas de redes sociais – eles foram obtidos graças a uma vulnerabilidade descoberta em 2021 e hoje já encerrada. Caso contrário, o recurso está ameaçado de vazamento de dados, seguido de pesadas multas dos reguladores europeus.
Sob o Regulamento Geral de Proteção de Dados da UE (GDPR), o Twitter enfrenta uma multa multimilionária por vazamento, como o hacker menciona à administração da rede social em um fórum: “Sua melhor opção para evitar pagar uma multa de US $ 276 milhões sob o GDPR é comprar dados exclusivamente. Além disso, o chantagista deixou um link para uma página que explica exatamente como essas informações podem ser usadas por outros invasores – para ataques de phishing, fraude criptográfica e ataques do tipo BEC que envolvem a substituição de usuários legítimos por seus “clones”.
A postagem contém uma amostra de dados de 37 celebridades, incluindo celebridades, autoridades, políticos, jornalistas e empresários, além de detalhes de milhares de perfis de usuários comuns, incluindo endereços de e-mail, nomes, número de seguidores, datas de criação de contas e números de telefone. . Embora quase todos esses dados sejam públicos, endereços de e-mail e números de telefone geralmente são mantidos em sigilo.
Como os funcionários do portal BleepingComputer conseguiram descobrir pelo próprio Ryushi (talvez não estejamos falando de uma pessoa, mas de um grupo de pessoas), enquanto o Twitter está oferecendo a compra do banco de dados por $ 200.000, seguido de sua remoção por um chantagista. Se a proposta não for aceita, ela será vendida “no varejo” para diferentes pessoas, a $ 60.000 por cópia. Questionados sobre se o atacante contactou o Twitter, os jornalistas foram informados de que houve tentativas de estabelecer contactos, mas a rede social não respondeu à oferta.
O invasor confirmou que obteve números de telefone e endereços de e-mail graças a uma vulnerabilidade de API descoberta em 2021 e corrigida em janeiro de 2022. Anteriormente, acreditava-se que apenas 5,4 milhões de contas haviam vazado. O BleepingComputer relata que o teste de amostras mostrou a validade dos dados de pelo menos dois perfis. De acordo com os especialistas em segurança cibernética Hudson Rock, eles realizaram sua própria verificação e descobriram que as amostras publicadas em domínio público são reais. No entanto, a empresa enfatiza que ainda não é possível verificar se todos os 400 milhões de usuários estão no banco de dados.
As informações sobre o vazamento chegaram em um momento desfavorável para a rede social: o regulador irlandês acabara de lançar uma investigação sobre a recente publicação de informações sobre 5,4 milhões de usuários roubados em 2021. Sabe-se que outro invasor reivindicou o roubo de informações de 17 milhões de perfis que ainda não estão à venda. No total, mais de 1 bilhão de contas estão registradas no Twitter.