整理 | 何苗       

出品 | CSDN（ID：CSDNnews）

上周五，一个用户名为 Ryushi 的用户在黑客论坛 Breached 上发布了一个帖子声称，已成功利用漏洞抓取了超 4 亿 Twitter 用户数据并在线出售。

为了证明数据的真实性，帖子中直接分享了37 人的个人数据，其中包括美国民主党议员 AOC（Alexandria Ocasio-Cortez）、以太坊加密货币创始人 V 神等知名用户的私人信息。示例数据包含以下信息：电子邮件、姓名、用户名、关注者数量、创建日期，甚至还有用户的电话号码。

此外，黑客还提供了 1000 个账户的样本作为证明，他嚣张建议 Twitter 或马斯克花钱购买该数据库，否则他们将会面临巨额罚款，不过如果 Twitter 购买的话将会停止出售。

携 Twitter 数据以勒索马斯克

该黑客自爆利用的是今年早些时候已经修补的漏洞。上个月，一个包含 540 万 Twitter 账号的数据库在黑客论坛免费共享，而这次黑客售卖的数据规模则包含了绝大部分 Twitter 用户。

没有最嚣张，只有更嚣张。

这名黑客还向马斯克进行喊话：建议通过中间人交易，并表示这次销售由 Breached 论坛管理员提供的托管服务所涵盖。

“你的最佳选择是独家购买这些数据...... 之后我将删除此线程并且不会再出售此数据给任何其他人。这将防止很多名人和政客被钓鱼、加密货币诈骗、Sim swapping、Doxxing以及其他会让你的用户对你的公司失去信任的事情，以免阻碍你目前的增长和炒作。你还可以想象著名的内容创作者和有影响力的人在 Twitter 上遭到黑客攻击，这肯定会让他们放弃这个平台，毁掉你为内容创作者建立提供 Twitter 视频共享平台的梦想；也是因为你改变 Twitter 政策，犯了错误得到巨大的反弹。如果你不确定，就像往常一样在 Twitter 上进行投票，人们会选择他们的命运。因为归根结底，这些数据被泄露是公司的错。”

该黑客还列举了此前 Facebook 因数据泄露被罚款的例子：2021 年 4 月，一名黑客利用漏洞窃取了 5.33 亿 Facebook 用户数据。2022 年 11 月 28 日，Facebook 的母公司 Meta 被爱尔兰数据保护委员会（DPC）处以 2.35 亿欧元（约合近 20 亿人民币）的罚款。

Twitter 不断发生监管危机

事实上，爱尔兰数据保护委员会早已针对 8 月份的数据泄露事件对Twitter展开调查，那次事件据说已经影响到 540 万 Twitter 用户。

而最先注意到这个“勒索”帖子的以色列网络情报公司 Hudson Rock 创始人表示：“这些数据越来越有可能是有效的，可能是从一个 API 漏洞中获得的，使威胁者能够查询任何电子邮件/电话并检索到 Twitter 的资料，这与我最初在2021年报告的Facebook 533m数据库极为相似，这导致了Meta公司的275,000,000美元罚款。”

Twitter 在安全和隐私方面的监管压力越来越大。2020 年 7 月，Twitter 就曾发生一次被称为史上「最大的安全事件」，比尔·盖茨、特斯拉 CEO 马斯克、美国前副总统拜登、币安赵长鹏、波场孙宇晨、苹果、Coinbase、Ripple 等多个推特账户遭遇黑客攻击。

今年 9 月，Twitter 前网络安全主管 PeiterZatko 举报，Twitter 除了存在安全漏洞，还缺乏对用户数据的管理，比如公司里的工程师只了解其中 20% 的数据是什么、为什么要收集。

当时美国联邦贸易委员会（FTC）主席莉娜·汗（Lina Khan）表示，她和她的团队将采取更为严厉措施落实与 Twitter 达成的保护用户个人信息的协议。

一波未平一波又起，就在几个月前，Twitter 与美国联邦贸易协定签订了一项同意令，约定在未来 20 年内维持一项隐私和信息安全计划。为此 Twitter 还支付了 1.5 亿美元的民事罚款。目前该机构也在加紧调查该公司是否遵守了命令。

针对此次黑客勒索事件，爱尔兰数据保护机构表示，Twitter 显然违反了《通用数据保护条例》的规定，该条例是欧洲的隐私法规，通常与巨额罚款挂钩。如果黑客所盗数据得到证实，将是对 Twitter 及其首席执行官马斯克的沉重打击。

你认为马斯克会买“数据”消灾吗？

参考来源

https://breached.vc/Thread-Selling-Twitter-Data-Breach-400-million-users

https://www.solidot.org/story?sid=73753

https://cybersecurityworldconference.com/2022/12/25/data-of-400-million-twitter-users-up-for-sale/

https://www.govinfosecurity.com/hacker-claims-to-have-scraped-400m-twitter-user-records-a-20801