Les informations de 400 millions d'utilisateurs de Twitter, qui comprenaient des e-mails non publics et des numéros de téléphone liés, auraient été mises sur le marché au noir.
Le 24 décembre, la société de renseignement sur la cybercriminalité Hudson Rock a mis en évidence une "menace crédible" via Twitter, impliquant quelqu'un qui aurait prétendument fait la promotion d'une base de données non publique d'informations de contact pour 400 millions de comptes personnels Twitter.
"La base de données privée contient une quantité dévastatrice de données, y compris des e-mails et des numéros de téléphone de clients de premier plan comme AOC, Kevin O'Leary, Vitalik Buterin et plus", a expliqué Hudson Rock, avant d'ajouter :
"Dans la publication, l'attaquant affirme que l'information a été obtenue au début de 2022 en raison d'une vulnérabilité sur Twitter et tente de faire chanter Elon Musk pour qu'il achète l'information ou fasse l'objet de poursuites GDPR."
Hudson Rock a mentionné que même s'il n'était pas en mesure de confirmer absolument les affirmations du pirate compte tenu de la variété des comptes, "une vérification impartiale des informations elles-mêmes semble authentique".
BREAKING : Hudson Rock a découvert qu'un acteur menaçant crédible faisait la promotion des informations de 400,000,000 XNUMX XNUMX utilisateurs de Twitter.
La base de données privée contient une quantité dévastatrice de données, y compris des e-mails et des numéros de téléphone de clients de premier plan comme AOC, Kevin O'Leary, Vitalik Buterin et plus (1/2). pic.twitter.com/wQU5LLQeE1
— Rocher d'Hudson (@RockHudsonRock) 24 décembre 2022
L'agence de sécurité Web3 DeFiYield a également vérifié 1,000 XNUMX comptes que le pirate a proposés comme échantillons et a confirmé que les informations étaient "réelles". Il a également contacté le pirate via Telegram et a constaté qu'il était actif attente pour un acheteur là-bas.
Si la violation semble être vraie, la violation pourrait déclencher une inquiétude importante pour les clients de crypto-Twitter, en particulier ceux qui travaillent sous un pseudonyme.
Néanmoins, certains clients sont préoccupés par le fait qu'une violation d'une telle ampleur est difficile à imaginer étant donné la variété actuelle de clients actifs d'un mois à l'autre. prétendument est d'environ 450 millions.
Au moment de la rédaction de cet article, le pirate informatique présumé a toujours un article sur Breached vendant la base de données aux clients. Il comporte également un nom spécial pour Elon Musk pour payer 276 millions de dollars pour éviter de vendre l'information et payer un RGPD avantageux.
Si Musk paie les frais, le pirate dit qu'il supprimera les informations et ne les promouvra jamais à personne d'autre "pour empêcher un grand nombre de célébrités et de politiciens de phishing, d'escroqueries cryptographiques, d'échange de sim, de doxxing et d'autres problèmes".
Hacker's Database Show : Violation
On pense que les informations piratées dans la requête provenaient du "zero-day hack" sur Twitter, qui contenait une interface de programmation utilitaire vulnérabilité de juin 2021 a été exploité avant d'être corrigé en janvier de cette année. La faille permettait principalement aux pirates de récupérer des informations non publiques, qu'ils compilaient ensuite dans des bases de données pour les promouvoir sur Internet.
Associé: Crypto Twitter confus par la caution de 250 millions de dollars de SBF et un retour au luxe
Outre cette prétendue base de données, deux autres ont déjà été reconnues, l'une comprenant environ 5.5 millions de clients et l'autre mentionnée comme comprenant jusqu'à 17 millions de clients, selon un rapport du 27 novembre. rapport par Bleeping Laptop.
Les risques lorsque de telles informations sont divulguées en ligne incluent des tentatives de phishing ciblées par SMS et e-mail, des attaques par échange de cartes SIM pour accéder à des comptes et le doxing d'informations personnelles.
Il y a quelques considérations sérieuses à ce sujet.
#1 - L'identité de nombreux pseudo-comptes peut être publique, ce qui présente des dangers pour eux
# 2 - Découvrir l'adresse de quelqu'un et les détails de l'institution financière est extrêmement simple avec un numéro de téléphone.
#3 – Un certain nombre de tentatives de phishing se font par téléphone, physiquement ou par e-mail
- Haseeb Awan - efani.com (@haseeb) 25 décembre 2022
Les individus sont invités à prendre des précautions telles que B. S'assurer que les paramètres d'authentification à deux facteurs pour leurs nombreux comptes sont activés via une application plutôt que leur numéro de téléphone, en plus de modifier et de stocker en toute sécurité leurs mots de passe, et également d'utiliser un non -Poches crypto publiques auto-hébergées.