Bir tehdit aktörü, 400 milyon Twitter kullanıcısının kişisel bilgilerini ele geçirdiğini ve şimdi de satmaya çalıştığını iddia etti. Oyuncu, güvenlik ihlaliyle ilgili ayrıntıları bir web sitesinde yayınladı ve hatta olayla ilgili Twitter ve Elon Musk’a bir uyarı gönderdi.
Ryushi adını kullanan kötü niyetli aktör, yüksek profilli kişilerin e-postalarını, telefon numaralarını ve diğer hassas bilgilerini içeren bir veritabanını ele geçirdiğini iddia ettikleri bir gönderi yayınladı. Ryushi tarafından yazılan gönderiye göre oyuncu, Sundar Pichai, Steve Wozniak, ABD’li siyasetçi AOC, Kevin O’Leary gibi önde gelen kişilerin özel bilgilerini içeren verilerin geçerliliğini göstermek için bin hesaptan bir örnek verdi. ve diğerleri arasında Donald Trump Jr.
Satıcı, GDPR’ye uyum nedeniyle açılan yasal işlemlerden kendilerini korumak için Twitter ve Elon Musk’a verileri satın almaları için bir davet gönderdi.
Mesajda, “Twitter veya Elon Musk, eğer bunu okuyorsanız, zaten 400 milyon kullanıcının ihlal kaynağını göz önünde bulundurarak 5,4 milyonun üzerinde bir GDPR ihlali cezasıyla karşı karşıyasınız” yazıyor. Facebook’un yaptığı gibi (533 milyon kullanıcının verilerinin kazınması nedeniyle) GDPR’yi 276 milyon ABD doları tutarında ihlal ettiğiniz için ceza ödemek zorunda kalmaktan kaçınmak istiyorsanız, en iyi seçiminiz bu verileri yalnızca tanıtım materyallerini okuyan olarak edinmektir.
Ek olarak satıcı, işlemin Breached forumunun (pompompurin) yöneticileri tarafından sağlanan emanet hizmeti tarafından korunacağını açıkladı.
Bir ay önce Twitter’da önemli bir veri ihlali haberinin yayınlanmasının ardından, İrlanda Veri Koruma Komisyonu (DPC) konuyla ilgili soruşturma başlattı.
Bu ihlal, yaklaşık 5,4 milyon Twitter kullanıcısını etkiledi ve siteden kamuya açık bilgileri kazıyan bilgilere ek olarak özel telefon numaralarını ve e-posta adreslerini içeriyor. Bilgilere, şirketin bu yılın Ocak ayında yama yaptığı Twitter’ın API’sindeki bir güvenlik açığından yararlanılarak erişildi.
İrlanda gizlilik düzenleyicisi, “DPC, TIC’in veri kümelerini oluşturmak için kullanılan kaynak güvenlik açığı olduğunu iddia ettiği ve GDPR uyumluluğuna ilişkin sorguları gündeme getirdiği bildirilen bir kişisel veri ihlaliyle ilgili olarak Twitter International Unlimited Company’ye (‘TIC’) yazıştı” dedi. Cuma günü yayınlanan bir bildiride.
Buna ek olarak, “Twitter Kullanıcılarının kişisel verileriyle bağlantılı olarak GDPR ve/veya Kanun’un bir veya daha fazla bölümünün ihlal edilmiş olabileceği ve/veya ihlal ediliyor olabileceği” görüşünde olduğunu söyledi.
Bilgisayar korsanı, verilerin 2022’nin başlarına kadar Twitter’da bir saldırı kullanılarak toplandığını söylüyor. Bilgisayar korsanı, Musk’ın neden onun tavsiyesine uyması gerektiğini veya dünya çapında bir dizi yargı alanında birçok dava ile karşı karşıya kalma riskini ayrıntılı olarak ortaya koydu.
Kullanıcının e-posta adresi ve bazı durumlarda telefon numarası gibi hassas bilgileri içerdiği görülüyor. Kalan malzemenin gerçek olduğu iddiasını destekleyecek hiçbir kanıt yoktur.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.