แฮกเกอร์ได้นำข้อมูลผู้ใช้งาน Twitter กว่า 400 ล้านรายมาขาย


14 January 2566
แฮกเกอร์ได้นำข้อมูลผู้ใช้งาน Twitter กว่า 400 ล้านรายมาขาย

ผู้โจมตีได้นำข้อมูลที่เป็นทั้งสาธารณะและส่วนตัวของผู้ใช้งาน 400 ล้านรายมาขาย ซึ่งเป็นข้อมูลที่ถูกเก็บมาตั้งแต่ 2021 โดยการใช้ช่องโหว่ของ API ที่ปัจจุบันได้รับการแก้ไขแล้ว ข้อมูลถูกขายแบบพิเศษในราคา 200,000 ดอลลาร์ ข้อมูลขนาดใหญ่ถูกขายโดยผู้โจมตีที่ชื่อว่า ‘Ryushi’ บนเว็บฟอรั่มชื่อดังอย่าง Breached ซึ่งทางผู้โจมตีได้อ้างว่าข้อมูลผู้ใช้งานกว่า 400 ล้านรายนั้นเป็นข้อมูลที่ไม่ซ้ำกัน และยังเตือน Elon Musk ด้วยว่าให้ซื้อไปก่อนที่จะมีปัญหาใหญ่กับกฎหมายที่ว่าด้วยความเป็นส่วนตัวหรือ GDPR privacy ของยุโรป ทางผู้ขายยังได้ลิงก์ไปยังโพสที่อธิบายเกี่ยวกับการใช้ข้อมูลดังกล่าวในการทำ phishing attack, crypto scams และ BEC attack

ในโพสที่วางขายข้อมูลยังได้มีตัวอย่างข้อมูลที่โชว์ให้เห็นถึงโปรไฟล์ของคนดัง 37 คน รวมถึงนักการเมือง, นักข่าว, องค์กร, องค์กรของรัฐบาล เช่น Alexandria Ocasio-Cortez, Donald Trump JR, Mark Cuba, Kevin O’Leary, Piers Morgan โปรไฟล์ผู้ใช้มีข้อมูล Twitter สาธารณะและส่วนตัว รวมถึงที่อยู่อีเมลของผู้ใช้ ชื่อ ชื่อผู้ใช้ จำนวนผู้ติดตาม วันที่สร้าง และหมายเลขโทรศัพท์ แม้ว่าโปรไฟล์ที่รั่วไหลออกมาทั้งหมดดูเหมือนจะมีที่อยู่อีเมลเชื่อมโยงอยู่ด้วย แต่หลายๆ โปรไฟล์ก็ไม่มีหมายเลขโทรศัพท์ แม้ว่าข้อมูลเกือบทั้งหมดนี้จะเข้าถึงได้แบบสาธารณะสำหรับผู้ใช้ Twitter ก็ตาม แต่หมายเลขโทรศัพท์และที่อยู่อีเมลเป็นข้อมูลส่วนตัวทางผู้โจมตีได้ยืนยันกับทาง Bleeping Computer เองเลยว่าพวกเขาได้ข้อมูลต่างๆโดยการใช้ช่องโหว่ API ที่ Twitter แก้ไขในเดือนมกราคม 2565 ซึ่งช่องโหว่ดังกล่าวยังมีส่วนในการทำให้ข้อมูลผู้ใช้งานหลุดก่อนหน้านี้กว่า 5.4 ล้านราย ช่องโหว่ดังกล่าวจะทำให้ผู้โจมตีสามารถใส่ข้อมูลหมายเลขโทรศัพท์และที่อยู่อีเมลจำนวนมากลงใน Twitter API และรับ ID ผู้ใช้ Twitter ที่เกี่ยวข้องมา จากนั้นผู้โจมตีจะใช้ ID กับอีก IP นึง เพื่อดึงข้อมูลโปรไฟล์สาธารณะสำหรับผู้ใช้งาน ในการสร้างโปรไฟล์ผู้ใช้ Twitter ที่ประกอบด้วยข้อมูลสาธารณะและข้อมูลส่วนตัว