Een cybercrimineel beweert de telefoonnummers en mailadressen van 5,4 miljoen Twitter-gebruikers in handen te hebben. De dataset staat voor 30.000 dollar te koop.

De advertentie verscheen op 24 juli op een hackersforum. De aanbieder staat op het forum bekend als ‘Devil’. Volgens ‘Devil’ bevat de dataset gegevens 5,4 miljoen Twitter-accounts. De inhoud is niet geverifieerd.

Kwetsbaarheid

Volgens securitywebsite RestorePrivacy werden de gegevens gestolen met een kwetsbaarheid die sinds 1 januari bij Twitter bekend is. De kwetsbaarheid werd op 13 januari opgelost. De tijd daartussen stond misbruik toe.

Bug bounty-platform HackerOne was betrokken bij de vondst van de kwetsbaarheid. “De kwetsbaarheid maakt het voor elke partij mogelijk om zonder authenticatie de Twitter ID van elke gebruiker te verkrijgen door een telefoonnummer of e-mail op te geven”, meldde de organisatie destijds. “Dat staat ongeveer gelijk aan het verkrijgen van de gebruikersnaam van een account.”

De aanbieder van de dataset ontkende elke connectie met HackerOne in een verklaring aan website BleepingComputer.

Openbaar

In 2021 maakten cybercriminelen de Facebook-gegevens van 553 miljoen gebruikers buit. Het merendeel van de gegevens was openbare informatie. Toch maakte de dataset het mogelijk om een groot aantal gebruikers in korte tijd te phishen. Het probleem in Twitter is vergelijkbaar. Gebruikers worden geadviseerd om waakzaam te zijn voor verdachte mails.