Punti chiave:

  • Le e-mail private e i numeri di telefono collegati agli account di 400 milioni di utenti Twitter erano in vendita sul mercato illecito.

  • Hudson Rock ha affermato che, sebbene non sia stato possibile convalidare pienamente le affermazioni dell'hacker, "la verifica indipendente dei dati stessi sembra essere reale".

  • Dato che ci sono circa 450 milioni di utenti mensili attivi, alcuni hanno notato che una violazione così massiccia è difficile da immaginare.

Secondo quanto riferito, sul mercato illegale sarebbero stati venduti e-mail private e numeri di telefono collegati dagli account di 400 milioni di utenti Twitter.

Il 24 dicembre la società di intelligence sulla criminalità informatica Hudson Rock ha lanciato la presunta “minaccia credibile” di vendere un database privato contenente le informazioni di contatto di 400 milioni di account utente di Twitter.

"Il database privato contiene quantità devastanti di informazioni tra cui e-mail e numeri di telefono di utenti di alto profilo come AOC, Kevin O'Leary, Vitalik Buterin e altri", ha affermato Hudson Rock

"Nel post, l'autore della minaccia afferma che i dati sono stati ottenuti all'inizio del 2022 a causa di una vulnerabilità in Twitter, oltre a tentare di estorcere Elon Musk per acquistare i dati o affrontare azioni legali GDPR."

Dato il numero di account, Hudson Rock ha affermato che, sebbene non sia stato possibile convalidare pienamente le affermazioni dell'hacker, "la verifica indipendente dei dati stessi sembra essere reale".

BREAKING: Hudson Rock ha scoperto che un credibile autore di minacce sta vendendo i dati di 400.000.000 di utenti Twitter. Il database privato contiene quantità devastanti di informazioni tra cui e-mail e numeri di telefono di utenti di alto profilo come AOC, Kevin O'Leary, Vitalik Buterin e altri (1/2 ). pic.twitter.com/wQU5LLQeE1

— Hudson Rock (@RockHudsonRock)    24 dicembre 2022

DeFiYield, una società di sicurezza Web3, ha esaminato i 1.000 account forniti dall'hacker come campione e ha confermato che le informazioni erano "autentiche". Inoltre, ha comunicato con l'hacker tramite Telegram, sottolineando che attendevano con impazienza un acquisto lì.

Se confermata, la violazione potrebbe rappresentare un grave rischio per gli utenti Twitter di criptovalute, in particolare per quelli che utilizzano alias.

Dato che ci sono circa 450 milioni di utenti mensili attivi, alcuni hanno notato che una violazione così massiccia è difficile da immaginare.

Il presunto hacker ha ancora un post su Breached che offre il database agli acquirenti al momento della stesura di questo articolo. È incluso un particolare invito all'azione affinché Elon Musk paghi 276 milioni di dollari per impedire la vendita dei dati e una multa da parte dell'agenzia per il regolamento generale sulla protezione dei dati.

Musk deve pagare il riscatto prima che l'hacker distrugga i dati e prometta di non venderli a nessun altro, sostengono, "per salvare molti politici e celebrità da phishing, frodi crittografiche, scambio di Sim, Doxxing e altre cose."

Si ritiene che la fonte dei dati compromessi in questione sia lo "Zero-Day Hack" su Twitter, che ha comportato lo sfruttamento di una vulnerabilità dell'interfaccia di programmazione dell'applicazione dal giugno 2021 prima che fosse corretta nel gennaio di quest'anno.

Gli hacker potrebbero creare database che poi rivenderanno sul dark web

Oltre a questo presunto database, ne sono stati scoperti altri due, uno dei quali si stima abbia 5,5 milioni di utenti e l'altro, che potrebbe averne fino a 17 milioni, secondo un rapporto di Bleeping Computer del 27 novembre.

Tentativi di phishing mirati tramite SMS ed e-mail, attacchi con cambio di SIM per accedere agli account e doxing di informazioni private sono rischi associati alla pubblicazione di tali informazioni online.

Sono in vendita oltre 400 milioni di dati di account Twitter, tra i quali i più critici sono nome utente, numero di cellulare ed e-mail. L'hacker è stato in grado di fornire un elenco campione di 1000 nomi utente e sono riuscito a verificarne molti pic.twitter.com/qcrloExBUK

— Haseeb Awan – efani.com (@haseeb) 25 dicembre 2022

Si consiglia alle persone di adottare misure di sicurezza, tra cui l'aggiornamento delle proprie password e l'archiviazione in modo sicuro, l'utilizzo di un portafoglio crittografico privato e self-hosted e la garanzia che le impostazioni di autenticazione a due fattori siano abilitate per i propri account multipli tramite un'app anziché il proprio numero di telefono.