骇客以 20 万美元的产品价格转卖 4 亿twitter使用者统计数据。

日前，有名叫 Ryushi 的骇客在高峰论坛以 20 万美元的产品价格转卖 4 亿twitter使用者统计数据，包涵申明和个人隐私统计数据。骇客称那些统计数据是透过twitter的两个 API 安全漏洞来以获取的。

骇客向特斯拉和twitter敲诈，称其应该在欧洲联盟 GDPR 罚金以后买回那些统计数据。因为以后 Facebook 5.33 亿使用者统计数据外泄被 GDPR 法律条文罚金，因此骇客向twitter敲诈 2.76 万美元的巨款。

图 骇客在高峰论坛转卖 4 亿twitter使用者统计数据

骇客说明了那些统计数据的潜在性商业用途，普通用户借助那些统计数据能实现钓反击、身份校正汇率流氓软件、BEC 反击等。

骇客还正式发布了样本统计数据，当中包涵 37 个名流、当权者、记者除此之外，还有 1000 个twitter使用者概要重要信息外泄。

使用者重要信息中既主要包括申明和个人隐私的twitter使用者统计数据，主要包括使用者超链接、联系电话、使用者名、高度关注者数目、建立年份、联络方式。外泄的使用者概要重要信息中都关连了邮箱，但许多帐户并没有电话号码。

虽然外泄的使用者统计数据都是申明可出访的，但电话号码和邮箱归属于个人隐私重要信息。

Ryushi 称其方案将这 4 亿使用者统计数据以 20 万美元的产品价格排斥地转卖给两个人或twitter，接着将删掉那些统计数据。如果转卖不赢得成功，将以 6 万美元的产品价格转卖给数个使用者。在问到与否联络twitter缴付巨款时，Ryushi 称其已经联络了twitter，但仍未得到申明。

普通用户称那些统计数据是透过两个twitter API 安全漏洞来搜集的。该安全漏洞容许使用者向twitter API 输出联络方式和邮箱，就能赢得相关联的twitter使用者 id。接着普通用户借助该 id 和 IP 来以获取使用者的申明个人概要统计数据，将twitter使用者的申明统计数据和个人隐私统计数据关连在一同。

twitter拟于 2022 年 1 月复原了该安全漏洞。但以后已近数名骇客借助该安全漏洞截取了twitter使用者统计数据，当中有骇客转卖了超过 540 万使用者统计数据。

严重威胁情报部门公司 Hudson Rock 的研究相关人员 Alon Gal 校正了外泄的样本统计数据，并确认了样本统计数据的准确性。但称目前还难以全然确认统计资料库中 4 亿使用者统计数据的准确性。

此前twitter已证实了 API 安全漏洞问题。但截止目前，twitter未对本次统计数据外泄事件进行回应。

查看原文