Hacker rao bán dữ liệu tài khoản Twitter của 5,4 triệu người dùng

Twitter vừa trải qua một vụ vi phạm dữ liệu nghiêm trọng. Hacker đã sử dụng lỗ hổng bảo mật để đánh cắp số điện thoại và địa chỉ email của 5,4 triệu tài khoản và rao bán số dữ liệu này trên một diễn đàn với giá 30.000 USD.

Kẻ rao bán dữ liệu dùng nickname là "devil" và hắn ta cho biết số dữ liệu này bao gồm thông tin về nhiều tài khoản khác nhau, bao gồm cả người nổi tiếng, công ty và người dùng ngẫu nhiên.

"Xin chào, hôm nay tôi chào bán tới các bạn dữ liệu được thu thập trên nhiều người dùng Twitter qua một lỗ hổng. (Chính xác là 5.485.636 người dùng)", devil viết trong bài đăng bán dữ liệu Twitter. "Những người dùng này bao gồm cả người nổi tiếng, công ty, người dùng ngẫu nhiên...".

Thông tin từ BleepingComputer cho biết hacker đã sử dụng lỗ hổng bảo mật để thu thập dữ liệu vào tháng 12/2021. Hiện tại số dữ liệu đang được rao bán với giá 30.000 USD và đã có những khách hàng tiềm năng tiếp cận.

Theo Restore Privacy, lỗ hồng mà hacker sử dụng để thu thập dữ liệu giống với lỗ hổng được báo cáo cho Twitter thông qua HackerOne vào ngày 01/01/2022 và được vá vào ngày 13/01/2022.

"Lỗ hổng bảo mật ấy cho phép bất kỳ bên nào lấy được ID Twitter (tương đương với việc lấy được tên người dùng của tài khoản) mà không cần xác thực chỉ bằng cách gửi số điện thoại/email ngay cả khi người dùng đã cấm hành động này trong cài đặt quyền riêng tư", nhà nghiên cứu bảo mật "zhirinovskiy" cho biết. "Lỗi này tồn tại do quy trình ủy quyền được sử dụng trong Android Client của Twitter, đặc biệt là trong quy trình kiểm tra sự trùng lặp của tài khoản Twitter".

Hacker devil phủ nhận mối liên kết giữa hắn ta với HackerOne và zhirinovskiy.

Lỗ hổng này tương tự như cách hacker lấy dữ liệu tài khoản Facebook của 533 triệu người dùng vào năm 2021.

Twitter chưa xác nhận vụ rò rỉ dữ liệu nhưng cho biết họ đang điều tra tính xác thực của các tuyên bố mà hacker đưa ra. Tuy nhiên, dựa trên một mẩu dữ liệu nhỏ được hacker chia sẻ, BleepingComputer đã xác minh được rằng thông tin cá nhân (địa chỉ email và số điện thoại) là chính xác.

Tội phạm mạng có thể dùng các email và số điện thoại của người dùng để tiến hành các chiến dịch lừa đảo có chủ đích. Chính vì thế, người dùng Twitter nên cảnh giác khi nhận được email từ Twitter hoặc các email khác yêu cầu đăng nhập tài khoản.