Еще в августе этого года неизвестный хакер, работающий под ником «devil», разместил на BreachForums сообщение о краже данных 5,4 миллионов пользователей социальной сети Twitter, которые он выставил на продажу. Эта база данных включала в себя электронную почту и номер телефона каждого из 5,4 миллионов пользователей, которые их владельцы привязали к своим учетным записям. Теперь некто с ником «Ryushi» заявляет, что продаст подобную базу данных, в которой содержится информация о более чем 400 миллионов пользователей Twitter.

Информация для базы данных, выставленной на продажу в августе, извлечена из Twitter в декабре 2021 года. В этом процессе сбора информации злоумышленник использовал «дыру» в безопасности процедуры входа в аккаунт Twitter, раскрывающую уникальные идентификаторы владельцев аккаунтов, назначенные каждой учетной записи Twitter. Это позволяло в дальнейшем раскрывать адреса электронной почты и номера телефонов. Исправление этой уязвимости произошло в январе 2022 года, что, к сожалению, было уже после сбора информации злоумышленниками.

Если верить новому сообщению на BreachForums, база данных, содержащая информацию о 5,4 миллионах пользователей Twitter, меркнет по сравнению с готовой к захвату базой данных, которая, как утверждается, содержит адреса электронной почты и номера телефонов 400 миллионов учетных записей Twitter. Кроме того, сообщение на форуме содержит два образца украденных данных, и Hudson Rock утверждает, что независимый анализ подтвердил законность этих данных.

В интервью BleepingComputer злоумышленник рассказал о намерении продать данные одному покупателю за 200 000 долларов или нескольким покупателям по 60 000 долларов каждому. Сообщение на форуме, в котором перечислены данные для продажи, также содержит попытку вымогательства у Twitter и Илона Маска, указывая на расследование, недавно объявленное Ирландской комиссией по защите данных. По данным наблюдательного органа, Twitter, возможно, нарушил несколько положений Общего регламента по защите данных (GDPR), разоблачив информацию 5,4 миллиона своих пользователей.

Twitter уже может быть оштрафован за раскрытие информации об этих пользователях, и, как указано в сообщении на форуме злоумышленника, раскрытие информации, касающейся более 400 миллионов учетных записей Twitter, может сделать такой штраф еще более вероятным. Злоумышленник также перечисляет ряд извращенных вариантов использования украденной информации, предполагая, что пользователи Twitter могут подвергнуться масштабным кибератакам, если база данных попадет в чужие руки. В свете этих угроз сообщение на форуме просит Илона Маска купить базу данных от имени Twitter, при этом злоумышленник обещает удалить базу данных и никогда больше не продавать ее.

Независимо от судьбы всей базы данных, похоже, что образцы данных, показанные в сообщении на форуме, могли уже способствовать кибератаке по крайней мере на одну учетную запись Twitter. Ранее сегодня аккаунт, принадлежащий телеведущему Пирсу Моргану, был взломан, что привело к серии диких и оскорбительных твитов с аккаунта. Поскольку адрес электронной почты Моргана фигурирует в образце данных, опубликованном злоумышленником, вполне вероятно, что другой злоумышленник использовал эту информацию для получения несанкционированного доступа к учетной записи Моргана в Твиттере посредством фишинговой атаки. Образец данных включает в себя номера телефонов и адреса электронной почты многих других известных личностей, компаний и правительственных организаций, поэтому учетная запись Моргана в Твиттере может быть лишь первой из многих жертв в результате публикации этой информации.

Независимо от того, кто в конечном итоге купит украденную базу данных, которая в настоящее время выставлена на продажу, появление второй базы данных говорит о том, что несколько злоумышленников могли использовать уязвимость Twitter, которая раскрыла информацию пользователей, и могут быть еще подобные базы данных, которые еще предстоит обнаружить в продаже или на всеобщем обозрении. Таким образом, пользователи Twitter могут захотеть изменить адреса электронной почты и номера телефонов, связанные с их учетными записями, для защиты от фишинговых атак в будущем. Для пользователей, решивших сделать этот шаг, сообщения, которые выглядят как сообщения из Твиттера, отправленные на адреса электронной почты и номера телефонов, ранее связанные с учетными записями пользователей, могут безопасно игнорироваться как попытки фишинга.