داده‌های ۴۰۰ میلیون کاربر توییتر در بازار سیاه به فروش گذاشته شده است!

شرکت اطلاعاتی جرایم سایبری هادسون راک (Hudson Rock) در ۲۴ دسامبر (۳ دی) از طریق توییتر به بررسی یک تهدید جدی پرداخت که در آن فردی ظاهراً قصد دارد یک پایگاه داده خصوصی حاوی اطلاعات تماس ۴۰۰ میلیون حساب کاربری توییتر را به فروش برساند.

هادسون راک در ادامه اظهار داشت که:

این دیتا بیس خصوصی حاوی مقادیری از اطلاعات مهم از جمله ایمیل‌ها و شماره تلفن‌های کاربران بسیار مهم مانند الکساندریا اوکازیا کورتز (Alexandria Ocasio Cortez) سیاست‌مدار آمریکایی، کوین اولری (Kevin O’Leary)، ویتالیک بوترین (Vitalik Buterin) و غیره است.

در این پست هکر ادعا می‌کند که داده‌ها در اوایل سال ۲۰۲۲ به دلیل آسیب‌پذیری در توییتر و همچنین به منظور تلاش برای اخاذی از ایلان ماسک به دست آمده است. از ایلان ماسک خواسته شده که یا این داده‌ها را خریداری کند و یا منتظر شکایت کاربران توییتر از او باشد.

هادسون راک گفت که اگرچه با توجه به تعداد حساب‌ها نتوانسته است ادعاهای هکر را به‌طور کامل تأیید کند، اما گفت که تأیید مستقل خود داده‌ها به‌صورت تکی حاکی از صحت اظهارات هکر است. توییت هادسون راک که در تاریخ ۲۴ دسامبر ۲۰۲۲ از حساب کاربری رسمی او (@RockHudsonRock) منتشر شده است به‌صورت زیر است:

خبر فوری: بر اساس یک تهدید معتبر هادسون راک به این نتیجه رسیده است که یک هکر توانسته اطلاعات ۴۰۰ میلیون کاربر توییتر را به سرقت برده و برای فروش بگذارد. این دیتا بیس خصوصی حاوی مقادیری از اطلاعات بسیار مهم از جمله ایمیل‌ها و شماره تلفن‌های کاربران برجسته مانند AOC، کوین اولری، ویتالیک بوترین و غیره است.

شرکت امنیتی DeFiYield که در حوزه‌ی Web3 فعالیت می‌کند نیز به ۱۰۰۰ حساب که به عنوان نمونه توسط هکر ارائه شده بود نگاهی انداخت و تأیید کرد که داده‌ها واقعی هستند. همچنین از طریق تلگرام با هکر تماس گرفت و اشاره کرد که آنها بی‌صبرانه منتظر پیدا شدن خریدار برای این اطلاعات هستند.

اگر صحت درز کردن این حجم بالا از اطلاعات تأیید شود، این مسأله می‌تواند دلیل مهمی برای نگرانی کاربران رمزارز توییتر و به‌ویژه کسانی که با نام مستعار کار می‌کنند، باشد.

بااین‌حال برخی از کاربران تأکید کرده‌اند که با توجه به اینکه تعداد کاربران فعال ماهانه فعلی حدود ۴۵۰ میلیون نفر است، باور کردن چنین نقض گسترده‌ای سخت است.

در زمان نگارش این مقاله هنوز پست هکر که در آن به تبلیغ فروش اطلاعات پرداخته حذف نشده است. در این پست همچنین درخواست ویژه‌ای خطاب به ایلان ماسک به منظور اقدام فوری برای پرداخت ۲۶۷ میلیون دلار وجود دارد تا او بتواند مانع از انتشار این داده‌ها برای عموم و در پی آن جریمه شدن توسط آژانس مقررات حفاظت از داده‌های عمومی بشود.

هکر می‌گوید که اگر ماسک هزینه را بپردازد، داده‌ها را حذف می‌کند و به هیچ‌کس دیگری فروخته نمی‌شود تا بدین‌ صورت بسیاری از افراد مشهور و سیاستمدار هدف حملات فیشینگ و کلاهبرداری‌های کریپتو قرار نگیرند و مجبور به تعویض سیم‌کارت، Doxxing و موارد دیگر نشوند.

گفته می‌شود که داده‌های نقض‌شده مورد بحث از  Zero-Day Hack در توییتر به دست آمده‌اند که در طی آن با سوء‌استفاده از یک نقطه ضعف موجود در رابط برنامه‌نویسی این پلتفرم قبل از اینکه در ژوئن ۲۰۲۱ اصلاح شود، صورت گرفته است. این اشکال اساساً به هکرها اجازه داده تا اطلاعات خصوصی را جمع آوری کنند و آن‌ها برای فروش در دارک وب قرار دهند.

طبق گزارش منتشرشده در تاریخ ۲۷ نوامبر (۶ آذر) از Bleeping Computer، در کنار این پایگاه داده فرضی، قبلاً دو پایگاه داده دیگر شناسایی شده بودند که یکی شامل حدود ۵.۵ میلیون کاربر و دیگری حدود ۱۷ میلیون کاربر است.

خطرات افشای آنلاین چنین اطلاعاتی شامل تلاش‌های فیشینگ هدفمند از طریق متن و ایمیل، حملات تعویض سیم کارت برای به دست آوردن حساب‌ها و ارسال اطلاعات خصوصی است. حسیب اعوان (Haseeb Awan) با انتشار توییتی از حساب کاربری رسمی خود (@haseeb) در تاریخ ۲۵ دسامبر (۴ دی) ۲۰۲۲ عنوان کرد که:

نگرانی‌های جدی‌ای که در این زمینه وجود دارد:

شماره ۱ – هویت بسیاری از حساب‌های جعلی مشخص خواهد شد و خطراتی را برای آنها به همراه خواهد داشت.

شماره ۲ – با یک شماره تلفن، پیدا کردن آدرس و اطلاعات بانکی هر کسی بسیار آسان است.

شماره ۳ – رخ دادن حملات فیشینگ از طریق تلفن همراه، به‌صورت فیزیکی یا از طریق ایمیل.

به مردم توصیه می‌شود اقدامات احتیاطی مانند اطمینان از فعال بودن تنظیمات احراز هویت دو مرحله‌ای برای حساب‌های مختلف خود، از طریق یک برنامه و نه شماره تلفن، همراه با تغییر رمز عبور و ذخیره ایمن آن‌ها، و همچنین استفاده از یک کیف پول ارز دیجیتال خصوصی و شخصی را انجام دهند.