Hơn 5,4 triệu dữ liệu người dùng Twitter bị đánh cắp và đăng bán trên dark web

Quân Kít

Dữ liệu tài khoản cá nhân Twitter của bạn có thể đang được đăng bán trên nhiều diễn đàn hack.

Hơn 5,4 triệu hồ sơ người dùng Twitter chứa thông tin cá nhân bị đánh cắp, thông qua lỗ hổng API đã được khắc phục vào tháng 1 trước đó đã bị chia sẻ miễn phí trên một trang dark web.

Bảo mật dữ liệu Twitter bị tấn công? 

Theo tin tức mới nhất của 9to5Mac, vào 7 năm ngoái thông tin cá nhân của hơn 5,4 triệu người dùng Twitter bị công khai đăng bán trên một diễn đàn hack với giá 30.000 USD.

 

Đa phần dữ liệu các tài khoản bị đánh cắp, bao gồm  ID Twitter, tên, tên đăng nhập, vị trí,  xác minh tài khoản, kễ cả thông tin cá nhân, chẳng hạn như số điện thoại và địa chỉ email.

Đến tháng 12 năm 2021, quá trình lấy cắp thông tin người dùng bằng lỗ hổng API Twitter được phát hiện trong chương trình thưởng tiền cho cộng đồn khi tìm thấy lỗ hổng hệ thống, HackerOne. Với việc sử dụng ID Twitter, hacker có thể thu thập hồ sơ về tài khoản chứa thông tin người dùng, như minh họa bên dưới.

Sau khi BleepingComputer chia sẻ một mẫu hồ sơ người dùng với Twitter, mạng xã hội cũng xác nhận rằng họ đã bị tấn công dữ liệu do sử dụng một lỗi API đã được sửa vào tháng 1 năm 2022.

Pompompurin, chủ sở hữu của diễn đàn hack Breached, cho biết họ chịu trách nhiệm khai thác lỗi và tạo ra một lượng lớn hồ sơ người dùng Twitter sau khi một tác nhân đe dọa khác được gọi là 'Devil' đã chia sẻ lỗ hổng với họ.

Ngoài 5,4 triệu hồ sơ được rao bán, còn có thêm 1,4 triệu hồ sơ Twitter dành cho người dùng bị tạm ngưng được thu thập bằng một API khác, nâng tổng số lên gần 7 triệu hồ sơ Twitter chứa thông tin cá nhân người dùng.

 

Dữ liệu Twitter được chia sẻ trên một diễn đàn hack

Mới đây nhất ngày 24 tháng 11, có hơn 5,4 triệu hồ sơ Twitter hiện đã được chia sẻ miễn phí trên một diễn đàn hack.

Pompompurin cũng xác nhận với BleepingComputer rằng đây chính là dữ liệu đã được rao bán vào tháng 8 và bao gồm 5.485.635 hồ sơ người dùng Twitter.

Hồ sơ này chứa địa chỉ email hoặc số điện thoại và dữ liệu cá nhân được chia sẻ công khai, bao gồm ID Twitter, tên, tên hiển thị, vị trí, URL, hình ảnh, lượng người theo dõi, ngày tạo tài khoản, số lượng bạn bè, số lượng yêu thích, xác minh tài khoản và URL hình ảnh hồ sơ.

BleepingComputer cho biết những dữ liệu được đăng bán bao gồm nhiều file được chia nhỏ theo mã quốc gia và mã vùng, bao gồm Châu Âu, Israel và Hoa Kỳ.

Nếu bạn nhận được email thông báo rằng tài khoản đã bị tạm ngưng, có vấn đề về đăng nhập hoặc bạn sắp mất xác minh tài khoản và email đó nhắc bạn đăng nhập vào một miền không phải Twitter, hãy nhanh tay xoá các email đó trước khi hacker thực hiện các hành vi lừa đảo. 

 

Bài cùng chuyên mục