上周五，一個用戶名為Ryushi 的用戶在黑客論壇 Breached 上發(fā)布了一個帖子聲稱，已成功利用漏洞抓取了超4億?Twitter?用戶數(shù)據(jù)并在線出售。

為了證明數(shù)據(jù)的真實性，帖子中直接分享了37人的個人數(shù)據(jù)，其中包括美國民主黨議員 AOC（Alexandria Ocasio-Cortez）、以太坊加密貨幣創(chuàng)始人 V 神等知名用戶的私人信息。示例數(shù)據(jù)包含以下信息:電子郵件、姓名、用戶名、關注者數(shù)量、創(chuàng)建日期，甚至還有用戶的電話號碼。

此外，黑客還提供了1000個賬戶的樣本作為證明，他囂張建議 Twitter 或馬斯克花錢購買該數(shù)據(jù)庫，否則他們將會面臨巨額罰款，不過如果 Twitter 購買的話將會停止出售。

攜 Twitter 數(shù)據(jù)以勒索馬斯克

該黑客自爆利用的是今年早些時候已經(jīng)修補的漏洞。上個月，一個包含540萬 Twitter 賬號的數(shù)據(jù)庫在黑客論壇免費共享，而這次黑客售賣的數(shù)據(jù)規(guī)模則包含了絕大部分 Twitter 用戶。

沒有最囂張，只有更囂張。

這名黑客還向馬斯克進行喊話:建議通過中間人交易，并表示這次銷售由 Breached 論壇管理員提供的托管服務所涵蓋。

“你的最佳選擇是獨家購買這些數(shù)據(jù)…… 之后我將刪除此線程并且不會再出售此數(shù)據(jù)給任何其他人。這將防止很多名人和政客被釣魚、加密貨幣詐騙、Sim swapping、Doxxing以及其他會讓你的用戶對你的公司失去信任的事情，以免阻礙你目前的增長和炒作。你還可以想象著名的內(nèi)容創(chuàng)作者和有影響力的人在 Twitter 上遭到黑客攻擊，這肯定會讓他們放棄這個平臺，毀掉你為內(nèi)容創(chuàng)作者建立提供 Twitter 視頻共享平臺的夢想;也是因為你改變 Twitter 政策，犯了錯誤得到巨大的反彈。如果你不確定，就像往常一樣在 Twitter 上進行投票，人們會選擇他們的命運。因為歸根結底，這些數(shù)據(jù)被泄露是公司的錯。”

該黑客還列舉了此前 Facebook 因數(shù)據(jù)泄露被罰款的例子:2021年4月，一名黑客利用漏洞竊取了5.33億 Facebook 用戶數(shù)據(jù)。2022年11月28日，F(xiàn)acebook 的母公司 Meta 被愛爾蘭數(shù)據(jù)保護委員會（DPC）處以2.35億歐元(約合近20億人民幣)的罰款。

Twitter 不斷發(fā)生監(jiān)管危機

事實上，愛爾蘭數(shù)據(jù)保護委員會早已針對8月份的數(shù)據(jù)泄露事件對Twitter展開調(diào)查，那次事件據(jù)說已經(jīng)影響到540萬 Twitter 用戶。

而最先注意到這個“勒索”帖子的以色列網(wǎng)絡情報公司 Hudson Rock 創(chuàng)始人表示:“這些數(shù)據(jù)越來越有可能是有效的，可能是從一個 API 漏洞中獲得的，使威脅者能夠查詢?nèi)魏坞娮余]件/電話并檢索到 Twitter 的資料，這與我最初在2021年報告的Facebook533m數(shù)據(jù)庫極為相似，這導致了Meta公司的275，000，000美元罰款?！?/p>

Twitter 在安全和隱私方面的監(jiān)管壓力越來越大。2020年7月，Twitter就曾發(fā)生一次被稱為史上「最大的安全事件」，比爾·蓋茨、特斯拉 CEO 馬斯克、美國前副總統(tǒng)拜登、幣安趙長鵬、孫宇晨、蘋果、Coinbase、Ripple 等多個推特賬戶遭遇黑客攻擊。

今年9月，Twitter 前網(wǎng)絡安全主管 PeiterZatko 舉報，Twitter 除了存在安全漏洞，還缺乏對用戶數(shù)據(jù)的管理，比如公司里的工程師只了解其中20% 的數(shù)據(jù)是什么、為什么要收集。

當時美國聯(lián)邦貿(mào)易委員會（FTC）主席莉娜·汗(Lina Khan)表示，她和她的團隊將采取更為嚴厲措施落實與 Twitter 達成的保護用戶個人信息的協(xié)議。

一波未平一波又起，就在幾個月前，Twitter 與美國聯(lián)邦貿(mào)易協(xié)定簽訂了一項同意令，約定在未來20年內(nèi)維持一項隱私和信息安全計劃。為此 Twitter 還支付了1.5億美元的民事罰款。目前該機構也在加緊調(diào)查該公司是否遵守了命令。

針對此次黑客勒索事件，愛爾蘭數(shù)據(jù)保護機構表示，Twitter 顯然違反了《通用數(shù)據(jù)保護條例》的規(guī)定，該條例是歐洲的隱私法規(guī)，通常與巨額罰款掛鉤。如果黑客所盜數(shù)據(jù)得到證實，將是對 Twitter 及其首席執(zhí)行官馬斯克的沉重打擊。

你認為馬斯克會買“數(shù)據(jù)”消災嗎?

參考來源

https://breached.vc/Thread-Selling-Twitter-Data-Breach-400-million-users

https://www.solidot.org/story?sid=73753

https://cybersecurityworldconference.com/2022/12/25/data-of-400-million-twitter-users-up-for-sale/

https://www.govinfosecurity.com/hacker-claims-to-have-scraped-400m-twitter-user-records-a-20801