Nuovo clamoroso data leak per Twitter. Un certo Ryushi ha comunicato sul forum Breached di aver ottenuto i dati di oltre 400 milioni di account. Lo scraping è avvenuto sfruttando la nota vulnerabilità che l’azienda californiana ha risolto all’inizio di gennaio. L’autore del furto ha chiesto direttamente a Elon Musk di acquistare i dati per evitare sanzioni dai garanti della privacy europei.
In vendita i dati di 400 milioni di account
Pochi giorni fa, la Data Protection Commission (DPC) dell’Irlanda ha avviato un’indagine su Twitter in merito alla pubblicazione dei dati di circa 5,4 milioni di account, rubati nel mese di dicembre 2021 sfruttando una vulnerabilità introdotta per errore sei mesi prima. Utilizzando le API del social network era possibile trovare il Twitter ID a partire dal numero di telefono o dall’indirizzo email.
Utilizzando la stessa vulnerabilità, un certo Ryushi ha effettuato lo scraping dei dati da oltre 400 milioni di account. L’autore ha pubblicato un campione di 1.000 account per dimostrare l’autenticità dei dati. Sul forum Breached ha condiviso un elenco con nome, username, email, numero di follower, data di creazione dell’account e numero di telefono di alcuni personaggi famosi, tra cui Alexandria Ocasio-Cortez, Brian Krebs, Donald Trump Jr, Steve Wozniak, Neil deGrasse Tyson, Cara Delevingne, Gerard Piquè, Sundar Pichai e Stephen Curry.
Ovviamente non è possibile controllare tutti i dati, ma da una prima analisi effettuata da Alon Gal di Hudson Rock sembra che siano autentici. Ryushi ha dichiarato che venderà i dati solo a Twitter o direttamente a Elon Musk (in pratica un’estorsione, ndr) per evitare che molte celebrità diventino vittime di phishing, SIM swapping, truffe cripto, doxxing o altro. Il prezzo è 200.000 dollari.
L’autore del furto consiglia di pagare per evitare l’intervento dei garanti della privacy e le conseguenti sanzioni per la violazione del GDPR (Regolamento generale sulla protezione dei dati). Secondo Twitter si tratta dello stesso database con 5,4 milioni di account. Alon Gal ha invece verificato che il database è differente.
Aggiornamento (30/12/2022): la Data Protection Commission (DPC) irlandese ha comunicato che verificherà il rispetto della legge sulla protezione dei dati in riferimento al problema di sicurezza.