En gruppe cyberkriminelle, der går under navnet Ryushi har sat op mod 400 millioner Twitter-brugeres data til salg på hacker-forummet Breached.
Det beretter Bleeping Computer.
Ifølge mediet kræver de cyberkriminelle 200.000 dollar, eller knap 1,4 millioner kroner, for disse data.
De omtalte data er tilsyneladende blevet ’scraped’ fra den sociale platform i 2021 ved at udnytte en sårbarhed, der sidenhen blev fikset tidligere i 2022, men som ifølge beretningerne er blevet udnyttet flere gange.
Sårbarheden gjorde det muligt for hackere at indtaste lange lister med telefonnumre og e-mails på Twitters API. De modtog efterfølgende de Twitter-brugeres profiler, der stemte overens med disse telefonnumre og e-mails.
Herefter brugte hackerne Twitter-brugernes profiler til at tilgå flere offentlige data, der gjorde det muligt for at opbygge en slags kartotek over alle disse profiler, der både indeholder både private og offentlige data om brugerne.
I opslaget på hacker-forummet henvender de cyberkriminelle sig primært til Twitter-ejer Elon Musk og til selve virksomheden, som de gerne vil have de 1,4 millioner kroner fra, hvis disse data ikke skal lækkes.
Truslen, som Twitter og Elon Musk står over for, er ganske reel, for hvis disse data bliver lækket, så kan virksomheden forvente store bøder fra regulatorer i både USA og EU.
Hackerne har i deres opslag på forummet vedlagt et link, hvor det bliver beskrevet, hvordan andre cyberkriminelle kan misbruge de mange Twitter-brugeres data til phishing-kampagner, crypto-scams og andre lignende angreb.
Andre Twitter-læk
Twitter står i forvejen over for en anden sag om et andet læk, hvor 5,4 millioner Twitter-brugeres data sidste år blev lækket.
Det irske datatilsyn oplyste fredag, at de har igangsat en efterforskning om datalækket.
Det store læk skulle indeholde Twitter-id, e-mails, adresser og/eller telefonnumre tilhørende de 5,4 millioner berørte Twitter-profiler.
Det irske datatilsyn mener, at Twitter i den forbindelse kan have overtrådt en eller flere bestemmelser i EU’s generelle databeskyttelsesforordning.
Ifølge GDPR, så har tilsynet bemyndigelse til at pålægge bøder på op til fire procent af virksomhedens årlige omsætning.
Samtidig er der andre cyberkriminelle, der påstår at have stjålet 17 millioner brugeres data på Twitter via en anden sårbarhed. På nuværende tidspunkt er disse data dog ikke blevet gjort offentligt tilgængelige eller blevet sat til salg.