Cybercriminelen verkopen de publieke en privégegevens van 400 miljoen Twitter-gebruikers op een hackersforum. Hiervoor vragen zij 188.000 euro (200.000 dollar).
Volgens de securitynieuwswebsite hebben cybercriminelen, onder de naam Ryushi, de Twitter-gegevens te koop gezet op het hackingform Breached. De gegevens zijn in 2021 van het social platform ‘gescraped’ door gebruik te maken van een toen bestaande kwetsbaarheid. Deze kwetsbaarheid is begin dit jaar opgelost. Desondanks zou de kwetsbaarheid meerdere malen fors zijn misbruikt.
Via de kwetsbaarheid konden hackers lange lijsten van telefoonnummers en e-mailadressen in een Twitter API invoeren. Vervolgens kregen zij hier een bijbehorend Twitter gebruikers ID teruggestuurd. De cybercriminelen gebruikten vervolgens dit ID met andere informatie om de publieke profieldata van de gebruikers boven water te halen. Op deze manier bouwden zij een Twitter gebruikersprofiel dat zowel publieke als private data bevat.
Druk op Elon Musk
De cybercriminelen willen de gestolen publieke en private data nu voor 200.000 dollar verkopen. In hun post roepen zij voornamelijk Twitter-eigenaar Elon Musk en Twitter zelf op om te reageren. Anders kan Twitter hoogstwaarschijnlijk rekenen op hoge boetes van toezichthouders als deze data daadwerkelijk uitlekt.
Daarnaast geven de hackers ook een link naar een post waarin staat beschreven hoe andere cybercriminelen de data kunnen misbruiken in phishing-campagnes, crypto scams en BEC-aanvallen.
Overige data-inbreuken
Dit laatste datalek komt voor Twitter op een ongunstig moment. Naast alle onrust die het sociaal netwerk op dit moment doormaakt, is onlangs de Ierse Data Protection Commission (DPC), de Ierse privacytoezichthouder, een onderzoek gestart naar een eerder datalek van Twitter. Hierbij gaat het om de publicatie van data van 5,4 miljoen gebruikers welke in 2021 werden gestolen. Ook voor deze inbreuk is de Twitter-kwetsbaarheid gebruikt.
Daarnaast claimt een andere cybercrimineel dat hij via de kwetsbaarheid de gegevens van 17 miljoen eindgebruikers heeft ontvreemd. Deze data is vooralsnog niet openbaar of te koop zijn gezet.
Tip: Hacker biedt 5,4 miljoen Twitter-accounts aan voor 30.000 dollar
15 uur geleden
