Un hacker sconosciuto sta cercando di costringere Twitter a pagare i dati di 400 milioni di suoi utenti per evitare una pesante multa GDPR. L’attore della minaccia si è offerto di “vendere” i dati a Twitter per 200.000 dollari, una cifra nettamente inferiore alla sanzione di 275 milioni di dollari prevista dalla Commissione irlandese per la protezione dei dati (DPC) nei confronti di Meta.
Il post dell’hacker sul forum di hacking Breached, datato 23 dicembre 2022, afferma che l’offerta è la “migliore opzione” per l’azienda per evitare di pagare una multa all’autorità di regolamentazione della privacy. Per convincere l’azienda, l’hacker cita direttamente il capo di Twitter Elon Musk: “Basta fare un sondaggio su Twitter come al solito e la gente sceglierà il proprio destino”.
È stato verificato che un campione dei dati postati da un hacker, che si fa chiamare Ryushi, su Breached contiene e-mail e numeri di telefono di utenti di alto profilo, tra cui l’ex primo ministro australiano Scott Morrison, la deputata Alexandria Ocasio-Cortez, Mark Cuban, Kevin O’Leary, Sundar Pichai, il fondatore di Ethereum Vitalik Buterin, Donald Trump Jr, Steve Wozniak, Piers Morgan, ecc.
I dati includono dati disponibili pubblicamente, come nomi, nomi utente, numero di follower e data di creazione dell’account, e dati privati, come indirizzi e-mail e numeri di telefono. Le e-mail e i numeri di telefono sono stati eliminati dall’elenco campione trapelato e valutato dalla società di intelligence Hudson Rock. “Da una verifica indipendente, i dati sembrano essere legittimi e seguiremo gli eventuali sviluppi”, ha osservato Hudson Rock, aggiungendo. “In questa fase non è possibile verificare completamente che ci siano effettivamente 400.000.000 di utenti nel database”.
Ryushi, che si è unito a Breached nel dicembre 2022, ha dichiarato che avrebbe cancellato tutti i dati se Twitter avesse sborsato 200.000 dollari. In caso contrario, l’hacker ha dichiarato a BleepingComputer che li avrebbe venduti a più acquirenti per 60.000 dollari a copia. L’attore della minaccia sostiene di aver ottenuto i dati in vendita sfruttando la stessa vulnerabilità di Twitter che ha permesso la fuga dei dati di 5,4 milioni di utenti di Twitter in un caso (rivelato nell’agosto 2022), di 1,4 milioni di utenti in un altro (venuto alla luce nel novembre 2022). Twitter ha patchato la vulnerabilità nel gennaio 2022, ossia sei mesi dopo la sua scoperta. Tuttavia, sembra che in questo lasso di tempo gli attori delle minacce siano riusciti a provocare danni significativi. La vulnerabilità di Twitter in questione consentiva a chiunque di trovare gli account associati a qualsiasi numero di telefono e indirizzo e-mail attraverso la funzione “discoverability”.
A Twitter è stata comminata una sanzione di 150 milioni di dollari
Nel maggio 2022 è stata comminata a Twitter una multa di 150 milioni di dollari legata alla privacy. L’azienda deve affrontare un’altra prova da parte del DPC irlandese, che il 23 dicembre ha aperto un’indagine sulla fuga di notizie di 5,4 milioni di utenti. Il DPC non ha dichiarato l’intenzione di indagare sulla fuga di 400 milioni di utenti denunciata da Ryushi.
