Theo các chuyên gia bảo mật phát hiện, các tin tặc đã đánh cắp địa chỉ email của hơn 200 triệu người dùng Twitter và đăng chúng lên một diễn đàn hack trực tuyến hòng thu lời bất chính.
"Thật không may, vụ rò rỉ này sẽ dẫn đến rất nhiều vụ hack và lừa đảo có chủ đích", Alon Gal, đồng sáng lập công ty giám sát an ninh mạng Hudson Rock của Israel viết trên LinkedIn. Chuyên gia này cho rằng đây là một trong những vụ rò rỉ nghiêm trọng nhất mà ông từng chứng kiến.
Theo nhiều nguồn tin, tập tài liệu được phát tán bao gồm địa chỉ email hoặc số điện thoại của khoảng 235 triệu người dùng Twitter. Thông tin này đã được ghép nối với các chi tiết được thu thập công khai từ hồ sơ của người dùng, cho phép tội phạm mạng tạo hồ sơ dữ liệu hoàn chỉnh hơn về các nạn nhân tiềm năng.
Bleeping Computer cảnh báo thêm thông tin của mỗi người dùng không chỉ bao gồm địa chỉ email và số điện thoại mà còn chứa tên người dùng, địa chỉ email, số lượng người theo dõi và ngày tạo tài khoản.
Gizmodo cho biết số dữ liệu người dùng có dung lượng 63 GB bị phát tán thực tế đã bị đánh cắp từ năm 2021.
Theo Washington Post, các hacker đã khai thác lỗ hổng API trong nền tảng của Twitter để tra cứu thông tin người dùng được kết nối với hàng trăm triệu tài khoản khác.
Lỗi này đã tạo ra một chức năng “tra cứu” kỳ lạ, cho phép bất kỳ người nào nhập số điện thoại hoặc email vào hệ thống của Twitter. Sau đó, chức năng này sẽ xác minh xem thông tin xác thực có được kết nối với một tài khoản đang hoạt động hay không. Thậm chí lỗ hổng này còn tiết lộ cụ thể tài khoản nào được liên kết với thông tin đăng nhập được đề cập.
Lỗ hổng ban đầu được phát hiện ở chương trình phát hiện lỗi có thưởng của Twitter vào tháng 1/2022. Nhưng mãi đến tháng 8/2022, phía Twitter mới chính thức công khai thừa nhận lỗ hổng này. Trong một bài đăng trên blog, mạng xã hội cho biết lỗi này là kết quả của việc cập nhật đoạn mã vào tháng 6/2021.
Tại thời điểm ấy, Twitter trấn an người dùng rằng “không có bằng chứng nào cho thấy ai đó đã lợi dụng lỗ hổng này”. Mặc dù vậy, một bộ dữ liệu được cho là chứa địa chỉ email và số điện thoại của hơn 400 triệu người dùng Twitter sau đó đã được rao bán trên diễn đàn hack.
Ryushi, hacker đăng tải kho dữ liệu này yêu cầu 200.000 USD để bán “độc quyền”. Thậm chí trong bài đăng, hacker này trực tiếp đề cập đến chủ sở hữu mới của Twitter là Elon Musk.
"Twitter hoặc Elon Musk, nếu ai đang đọc bài này, lựa chọn tốt nhất để tránh phải trả 276 triệu USD tiền phạt như Facebook từng bị do vi phạm GDPR là mua độc quyền dữ liệu này", Ryushi viết.
Ngày 4/1, Meta, công ty mẹ của Facebook và Instagram bị cơ quan quản lý dữ liệu châu Âu phạt với tổng số tiền 390 triệu euro do để lộ thông tin 533 triệu người dùng. Mức phạt được thông báo từ Ủy ban Bảo vệ Dữ liệu Ireland, cơ quan quản lý và áp dụng bộ quy tắc chung về bảo vệ dữ liệu tại châu Âu (GDPR) tại Ireland.