Les données de 400 millions d’utilisateurs de Twitter contenant des e-mails privés et des numéros de téléphone liés auraient été mises en vente sur le marché noir.
La société de renseignement sur la cybercriminalité Hudson Rock a mis en évidence une « menace crédible » via Twitter le 24 décembre dans laquelle quelqu’un est censé vendre une base de données privée contenant les coordonnées de 400 millions de comptes d’utilisateurs Twitter.
« La base de données privée contient des quantités dévastatrices d’informations, y compris des e-mails et des numéros de téléphone d’utilisateurs de haut niveau tels que AOC, Kevin O’Leary, Vitalik Buterin et plus », a déclaré Hudson Rock, avant d’ajouter que :
« Dans le message, l’acteur menaçant affirme que les données ont été obtenues au début de 2022 en raison d’une vulnérabilité sur Twitter, ainsi que d’une tentative d’extorsion d’Elon Musk. pour acheter les données ou faire face à des poursuites GDPR.
Hudson Rock a déclaré que bien qu’il n’ait pas été en mesure de vérifier pleinement les affirmations du pirate compte tenu du nombre de comptes, il a déclaré qu’une « vérification indépendante des données elles-mêmes semble être légitime ».
BREAKING: Hudson Rock a découvert qu’un acteur menaçant crédible vendait les données de 400 000 000 d’utilisateurs de Twitter.
La base de données privée contient des quantités dévastatrices d’informations, notamment des e-mails et des numéros de téléphone d’utilisateurs de haut niveau tels que AOC, Kevin O’Leary, Vitalik Buterin et plus (1/2). pic.twitter.com/wQU5LLQeE1
— Rocher d’Hudson (@RockHudsonRock) 24 décembre 2022
La société de sécurité Web3 DeFiYield a également examiné 1 000 comptes donnés à titre d’échantillon par le pirate informatique et a vérifié que les données sont « réelles ». Il a également contacté le pirate via Telegram et a noté qu’il était activement en attendant pour un acheteur là-bas.
Si elle est avérée, la violation pourrait être une source de préoccupation importante pour les utilisateurs de Twitter crypto, en particulier ceux qui opèrent sous un pseudonyme.
Cependant, certains utilisateurs ont souligné qu’une telle violation à grande échelle est difficile à croire, étant donné que le nombre actuel d’utilisateurs mensuels actifs aurait se situe autour de 450 millions.
Au moment de la rédaction de cet article, le prétendu pirate informatique a toujours un message sur Enfreint la publicité de la base de données aux acheteurs. Il a également un appel spécifique à l’action pour qu’Elon Musk paie 276 millions de dollars pour éviter que les données ne soient vendues et encoure une amende de l’agence de règlement général sur la protection des données.
Si Musk paie les frais, le pirate dit qu’il supprimera les données et qu’elles ne seront vendues à personne d’autre « pour empêcher de nombreuses célébrités et politiciens de faire du phishing, des escroqueries cryptographiques, des échanges de cartes SIM, du Doxxing et d’autres choses ».
Les données piratées en question proviendraient du « Zero-Day Hack » sur Twitter dans lequel une interface de programmation d’application vulnérabilité de juin 2021 a été exploité avant d’être corrigé en janvier de cette année. Le bogue permettait essentiellement aux pirates de récupérer des informations privées qu’ils compilaient ensuite dans des bases de données pour les vendre sur le dark web.
En rapport: Crypto Twitter confus par la caution de 250 millions de dollars de SBF et un retour au luxe
Parallèlement à cette supposée base de données, deux autres ont déjà été identifiées, l’une comprenant environ 5,5 millions d’utilisateurs et une autre pouvant contenir jusqu’à 17 millions d’utilisateurs, selon un rapport du 27 novembre. rapport de Bleeping Computer.
Les dangers de la fuite de telles informations en ligne incluent les tentatives de phishing ciblées par SMS et e-mail, les attaques par échange de cartes SIM pour obtenir des comptes et le doxing d’informations privées.
Il y a de sérieuses préoccupations à ce sujet.
#1 – Les identités de nombreux pseudo-comptes seront publiques, ce qui posera des risques pour eux
#2 – Avec un numéro de téléphone, il est très facile de trouver l’adresse et les informations bancaires de n’importe qui.
#3 – Plusieurs tentatives de phishing via téléphone portable, physique ou e-mail— Haseeb Awan – efani.com (@haseeb) 25 décembre 2022
Il est conseillé aux gens de prendre des précautions telles que s’assurer que les paramètres d’authentification à deux facteurs sont activés pour leurs différents comptes, via une application et non leur numéro de téléphone, ainsi que de changer leurs mots de passe et de les stocker en toute sécurité, et également d’utiliser un compte personnel privé. -portefeuille crypto hébergé.