Dữ liệu Twitter riêng tư liên quan đến 5 triệu người dùng đã bị phát tán miễn phí trong một diễn đàn hacker vào thứ Năm tuần trước sau lần rò rỉ đầu tiên hồi tháng Bảy.
Trong khi đợt rò rỉ vào tháng 7 có mức giá 30.000 USD, thì lần này chúng lại được cung cấp miễn phí.
Thông tin cá nhân của người dùng bị tiết lộ
Pompompurin, chủ sở hữu của diễn đàn hack HackerOne, đã xác nhận với BleepingComputer vào cuối tuần qua rằng trang web của anh ấy chịu trách nhiệm về kết xuất dữ liệu ban đầu.
Trở lại vào tháng 12 năm ngoái, một lỗi API Twitter đã được phát hiện như một phần của chương trình tiền thưởng lỗi của diễn đàn, cho phép mọi người truy xuất ID Twitter cụ thể bằng cách gửi số điện thoại hoặc địa chỉ email được liên kết. Điều này cho phép các hacker xây dựng hồ sơ người dùng trên hàng triệu tài khoản bằng cách sử dụng cả thông tin công khai và riêng tư.
Gói dữ liệu đã được thu thập vào tháng 7 và hacker bắt đầu rao bán thông tin cá nhân của 5,4 triệu người dùng với giá 30.000 USD trên một diễn đàn trực tuyến. Dữ liệu này bao gồm số điện thoại và địa chỉ email, bên cạnh thông tin công khai như tên, ID Twitter, vị trí, tên đăng nhập và trạng thái đã xác minh.
Ngoài ra, một vụ vi phạm dữ liệu thứ hai ảnh hưởng đến 1,4 triệu người dùng bị đình chỉ cũng đã diễn ra, nâng tổng số hồ sơ bị ảnh hưởng lên tới gần 7 triệu.
Gói dữ liệu ảnh hưởng đến 5,4 triệu người dùng giờ đây đã được chia sẻ lại một cách miễn phí trên một diễn đàn hack vào ngày 24 tháng 11 vừa qua. Theo Pompompurin, đây là cùng một gói dữ liệu đã được rao bán với giá hàng nghìn đô la vào tháng 7 và tháng 8.
“Những tập tài liệu này chứa địa chỉ email hoặc số điện thoại riêng tư và dữ liệu được thu thập công khai, bao gồm ID Twitter của tài khoản, tên, tên hiển thị, trạng thái đã xác minh, vị trí, URL, mô tả, số lượng người theo dõi, ngày tạo tài khoản, số lượng bạn bè, số lượng yêu thích, số lượng trạng thái và URL hình ảnh hồ sơ,” BleepingComputer đã viết.
Một vụ hack lớn hơn đang đến gần?
Mặc dù lỗi API được sử dụng để đánh cắp dữ liệu đã được sửa vào tháng 1 năm 2022, nhưng theo báo cáo, cách khai thác lỗi tương tự đã được sử dụng để gây ra một vụ vi phạm dữ liệu thậm chí còn lớn hơn.
Chuyên gia bảo mật Chad Loder đã tuyên bố như vậy trên Twitter vào thứ Tư tuần trước, nói rằng ông đã nhận được “bằng chứng” về một vi phạm ảnh hưởng đến hàng triệu người dùng Mỹ và châu Âu. Chad nói thêm: “Bộ dữ liệu bao gồm các tài khoản đã được xác minh, người nổi tiếng, chính trị gia nổi tiếng và cơ quan chính phủ.”
Tài khoản của Chad Loder đã bị đình chỉ ngay sau khi tuyên bố thông tin trên.
Nhiều công ty tiền điện tử bao gồm Celsius và OpenSea đã bị vi phạm dữ liệu email vào tháng 7 do một nhân viên bất mãn tại Customer.io, nơi xử lý thông tin liên lạc của khách hàng cho cả hai công ty.
Tham gia cộng đồng của chúng tôi để cùng bàn luận và cập nhật những thông tin Crypto mới nhất:
- Cryptory Insights: https://t.me/CryptoryInsights
- Cryptory Global Community: https://t.me/CryptoryCommunity
- Vietnamese Telegram channel: https://t.me/cryptory_vncomm
- Facebook: https://www.facebook.com/CryptoryNetwork
- Twitter: https://twitter.com/CryptoryNetwork