Bir hacker, artık düzeltilmiş bir API güvenlik açığı kullanarak 2021’de alınan 400 milyon Twitter kullanıcısına ait genel ve özel verileri sattığını iddia ediyor. Veri ihlallerinde çalınan kullanıcı verilerini satmak için yaygın olarak kullanılan bir site olan “Breached”deki bilgisayar korsanlığı forumunda ‘Ryushi’ takma adını taşıyan hacker özel bir satış için 200.000 dolar istiyor.
Kullanıcı profilleri, kullanıcıların e-posta adresleri, adları, kullanıcı adları, takipçi sayısı, oluşturma tarihi ve telefon numaraları dahil olmak üzere herkese açık ve özel Twitter verilerini içeriyor. Sızdırılan tüm profillerin e-posta adresleri var gibi görünse de birçoğunun telefon numarası yok.
Hacker, Elon Musk ve Twitter’ı, Avrupa’nın GDPR gizlilik yasası kapsamında büyük bir para cezasına yol açmadan önce verileri satın almaları gerektiği konusunda uyarıyor. Forumda şöyle diyor;
“Twitter veya Elon Musk, bunu okuyorsanız, 400 milyon kullanıcının ihlal kaynağını göz önünde bulundurarak zaten 5,4 milyon ihlalin üzerinde bir GDPR cezasını riske atıyorsunuz demektir. Facebook’un yaptığı gibi (533 milyon kullanıcının çalınan verileri nedeniyle) GDPR ihlali cezalarında 276 milyon ABD Doları ödemekten kaçınmak için en iyi seçeneğiniz, bu verileri özel olarak satın almaktır.”
Hacker ayrıca, bu verilerin diğer tehdit aktörleri tarafından kimlik avı saldırıları, kripto dolandırıcılığı ve BEC saldırıları için nasıl kötüye kullanılabileceğini açıklayan bir gönderiye de bağlantı verdi . Forum gönderisi, aralarında Alexandria Ocasio-Cortez, Donald Trump JR, Mark Cuba, Kevin O’Leary ve Piers Morgan’ın da bulunduğu otuz yedi ünlü, politikacı, gazeteci, şirket ve devlet kurumu için örnek veriler içeriyor. Ayrıca, daha sonra 1.000 Twitter kullanıcı profilinden oluşan daha büyük bir örnek sızdırıldı.
API güvenlik açığını kullanan hacker, bir kişinin büyük telefon numaraları ve e-posta adresleri listelerini bir Twitter API’sine göndermesine ve ilişkili bir Twitter kullanıcı kimliği almasına izin verdi. Hacker daha sonra bu kimliği başka bir IP ile kullanarak kullanıcıların genel profil verilerini aldı ve genel ve özel verilerden oluşan bir Twitter kullanıcı profili oluşturdu.
Twitter’ın Ocak 2022’de düzelttiği API güvenlik açığının birden fazla hacker tarafından kullanıldığı anlaşılıyor. Daha önce 5,4 milyon veriden bahseden bir hacker vardı. Daha sonra 17 milyon kullanıcıdan bahseden başka bir hacker oldu. Şu anda da 400 milyon veriden bahsediliyor.
