В сеть слили данные Виталика Бутерина, Кевина О’Лири и еще 400 млн пользователей Twitter

Хакер выставил на продажу базу данных 400 млн пользователей Twitter, включая контактную информацию создателя Ethereum Виталика Бутерина, звезды телевизионного шоу Shark Tank Кевина О’Лири и миллиардера Марка Кьюбана. На это обратила внимание компания Hudson Rock.

BREAKING: Hudson Rock discovered a credible threat actor is selling 400,000,000 Twitter users data.

The private database contains devastating amounts of information including emails and phone numbers of high profile users such as AOC, Kevin O’Leary, Vitalik Buterin & more (1/2). pic.twitter.com/wQU5LLQeE1

— Hudson Rock (@RockHudsonRock) December 24, 2022

В опубликованном 23 декабря объявлении продавец утверждает, что получил данные в начале 2022 года из-за уязвимости в соцсети. База содержит имена, номера мобильных телефонов и адреса электронной почты.

Неизвестный предоставил фрагмент данных 1000 знаменитых пользователей в качестве образца. Он также предложил CEO Twitter Илону Маску выкупить базу во избежание ее продажи и выплаты последующих судебных штрафов за утечку на сумму $276 млн.

Hudson Rock не удалось полностью проверить утверждения хакера, учитывая количество учетных записей. При этом компания по обеспечению безопасности Web3 DeFiYield подтвердила «реальность» предоставленной продавцом информации.

Некоторые не поверили в возможность такой крупномасштабной утечки, поскольку текущее количество активных пользователей Twitter в месяц составляет около 450 млн.

Потенциально подобную информацию могут использовать для фишинга, подмены SIM-карт и доксинга.

There are some serious concerns with this.
#1 — Identities of many pseudo accounts will be public, posing risks for them
#2 — With a phone number, it’s super easy to find anyone’s address and banking information.
#3 — Multiple phishing attempts via cellphone, physical, or email

— Haseeb Awan — efani.com (@haseeb) December 25, 2022

Напомним, в конце ноября в Twitter подтвердили утечку данных 5,4 млн пользователей. Она была получена в декабре 2021 года с помощью уязвимости API, связанной с процессом авторизации на Android-клиенте, которая позволяла людям отправлять номера телефонов и адреса электронной почты для получения идентификатора Twitter.

Тот же эксплойт позволил создать дамп данных, предположительно содержащий более 17 млн записей.

Уязвимость исправили в январе 2022 года.