Um conjunto de dados contendo alegadamente os endereços de e-mail e números de telefone de mais de 400 milhões de utilizadores do Twitter foi colocado à venda nos fóruns de hacking Breached Forums.
O conjunto de dados foi carregado nos Fóruns de Violação a 23 de Dezembro de 2022, por um hacker com o nome de ecrã ‘Ryushi’. O hacker alegou ter recolhido os dados utilizando técnicas de raspagem de dados e uma vulnerabilidade agora corrigida no software do site de redes sociais em 2021 e exigiu 200.000 dólares para uma venda “exclusiva” dos dados.
Amostra de 400 milhões de violações do Twitter
Alexandria Ocasio-Cortez
– SpaceX
– CBS Media
– Donald Trump Jr.
– Gato Doja
– Charlie Puth
– Sundar Pichai
– Salman Khan
– Conta JWST da NASA
– NBA
– Ministério da Informação e Radiodifusão, Índia
– Shawn Mendes
– Meios de comunicação social da OMS pic.twitter.com/RdezKOlMml
– 🏴☠️🕊🍓Puck Arks🍓🕊🏴☠️ (@PuckArksReturns) 25 de Dezembro de 2022
No seu posto, o hacker dirigiu-se directamente ao dono do Twitter, Elon Musk, dizendo: “Twitter ou Elon Musk, se está a ler isto, já está a arriscar uma multa GDPR superior a 5,4 m[illion] imagens de violação [sic] a multa de 400 m[illion] violação por parte dos utilizadores.
“A sua melhor opção para evitar o pagamento de 276 milhões de dólares em multas por violação do GDPR como fez o Facebook…é comprar estes dados exclusivamente”.
O hacker advertiu que se o Twitter não comprasse os dados antes de serem vendidos, os utilizadores “perderiam a confiança em si” e disse que se os actores maliciosos utilizassem os dados para obterem acesso não autorizado às contas de pessoas proeminentes (por exemplo, celebridades ou políticos), que “com certeza os tornariam fantasmas da plataforma” e “arruinariam [Musk’s] sonho” de o Twitter ser uma plataforma de partilha de vídeos.
Ryushi prosseguiu dizendo que a violação de dados iria exacerbar um momento já “sensível” para os criadores de conteúdos no Twitter, e que se Musk não estivesse seguro sobre o que fazer deveria “fazer uma sondagem no Twitter como de costume e as pessoas escolherão o seu destino”, uma referência ao facto de Musk ter alegadamente utilizado sondagens no Twitter para influenciar as decisões empresariais.
O hacker também culpou directamente o Twitter por esse hack, dizendo “no final do dia é culpa da empresa que estes dados tenham sido violados”.
Hey @elonmuskuma vez que parece já não ter muita equipa de media/comms, pode abordar a alegação aparentemente legítima de que alguém raspou & está agora a vender dados em centenas de milhões de contas Twitter? Talvez isso não tenha acontecido no seu relógio, mas deve uma resposta ao Twitter.
– briankrebs (@briankrebs) 27 de Dezembro de 2022
Os utilizadores do site exortaram Musk a comentar publicamente a violação de dados. O perito em cibersegurança e jornalista de investigação Brian Krebs marcou Musk num post público sobre a violação, dizendo que “deve[s] Twitter uma resposta” sobre a violação, mesmo que isso “não tenha acontecido em [his] relógio”.
O post do fórum incluiu amostras de dados de 37 celebridades, empresas, jornalistas, políticos e agências governamentais incluindo Doja Cat, Alexandria Ocasio-Cortez, Organização Mundial de Saúde, Shawn Mendes e Piers Morgan.
Suspeita-se que os dados da amostra já tenham sido utilizados por actores maliciosos para aceder às contas listadas na amostra, nomeadamente o jornalista britânico dos tablóides Piers Morgan. Esta suspeita surgiu depois de o Twitter de Morgan ter sido alegadamente pirateado e de uma série de tweets estranhos terem sido colocados no seu perfil entre o Dia de Natal e o Dia de Boxe de 2022.
Estes tweets incluíam mensagens abusivas, informações falsas e calúnias raciais dirigidas a uma série de pessoas, incluindo a falecida rainha Isabel II e o cantor Ed Sheeran.
A Morgan ainda não se dirigiu publicamente ao hack.
Investigação no Twitter lançada na sequência de violação
A Comissão Irlandesa de Protecção de Dados (DPC) anunciou a 23 de Dezembro de 2022, que irá lançar uma investigação sobre uma violação que explorou a mesma vulnerabilidade e afectou 5,4 milhões de utilizadores em Julho de 2022. Esta investigação foi referenciada por Ryushi no seu posto.
A violação ocorreu utilizando um software de vulnerabilidade no Twitter que foi sinalizado pela primeira vez à empresa em Janeiro de 2022. Esta vulnerabilidade permitiu aos actores maliciosos saber se um endereço de correio electrónico ou número de telefone estava associado a uma conta existente, introduzindo o número ou endereço de correio electrónico e tentando entrar no sistema.
O DPC disse numa declaração que tinha “correspondido com Twitter International Unlimited Company (‘TIC’)” em relação à violação de dados e “levantou questões em relação à conformidade com a GDPR”.
Depois de considerar a informação fornecida pelas TIC em resposta às suas perguntas, o DPC afirmou ser “da opinião que uma ou mais disposições da GDPR e/ou da Lei podem ter sido, e/ou estão a ser infringidas em relação aos dados pessoais dos utilizadores do Twitter”.
Em consequência disso, o CDC afirmou que investigará a violação dos dados para determinar “se a TIC cumpriu as suas obrigações, enquanto responsável pelo tratamento, no que respeita ao tratamento dos dados pessoais dos seus utilizadores ou se alguma disposição da GDPR e/ou da Lei foi, e/ou está a ser infringida pela TIC a este respeito”.
Em Novembro de 2022, a empresa de comunicação social Meta foi multada em $275 milhões na sequência de uma investigação da DPC sobre uma fuga de dados no Facebook que teve lugar em Abril de 2021. Isto também foi referido pelo hacker no seu post nos Fóruns de Violação.