L’ultima violazione non va trascurata, soprattutto per quegli utenti che hanno pubblicato informazioni controverse. … [+] Sotto gli account anonimi
Sul forum Hacker Breached, poche settimane prima, era stato pubblicato un set di dati che comprendeva presumibilmente le e-mail e i numeri di telefono di quasi 400 milioni di utenti di Twitter. Questo set di dati era stato originariamente caricato da “Ryushi”, un hacker che utilizzava lo screenname Ryushi.
Cyber Security Hub ha affermato che l’hacker ha dichiarato di aver ottenuto i dati utilizzando una “tecnica di data-scraping” e una falla non patchata nel software di Twitter. Per 200.000 dollari, l’hacker voleva vendere i dati “in esclusiva” e ha minacciato che le piattaforme di social media potrebbero essere soggette a un’enorme sanzione GDPR per non aver protetto i dati degli utenti.
Ryushi ha affermato che il modo migliore per evitare 276 milioni di dollari di sanzioni per violazioni del GDPR come quelle di Facebook era quello di acquistare esclusivamente questi dati.
Questo post sul forum includeva campioni di dati di 37 celebrità, aziende, giornalisti, politici e agenzie governative. Tra questi, Doja Cat e Alexandria Ocasio-Cortez dell’Organizzazione Mondiale della Sanità, Shawn Mendes e Piers Morgan.
I ricercatori di Privacy Affairs hanno anche rivelato che sono state trovate prove che oltre 200 milioni di informazioni sugli account Twitter sono state scaricate sul forum degli hacker.
Veronika Bilicska, responsabile dei contenuti di Privacy Affairs, ha dichiarato via e-mail che “questa nuova falla sembra essere identica a quella del dicembre 2022, che ha interessato più di 400 milioni di account”. In questo caso, la cifra di 200 milioni era dovuta alla rimozione dei duplicati.
Privacy Affairs riporta che i dati sembrano ora essere disponibili gratuitamente per tutti gli utenti, anziché essere venduti per 200.000 dollari come a dicembre. Sundar Paichai è una delle tante entità note, come Donald Trump Jr., SpaceX, CBS Media e l’NBA.
È stato riferito che il database aveva una dimensione di 63 GB. Gli hacker potrebbero utilizzare i dati per violare gli account degli utenti di Twitter. I ricercatori hanno anche messo in guardia da potenziali campagne di social engineering e “doxxing”.
Gli analisti di Privacy Affairs, tuttavia, hanno stabilito che i numeri trapelati non contenevano numeri di telefono.
L’ultima violazione non dovrebbe essere liquidata facilmente, soprattutto per gli utenti anonimi che hanno pubblicato contenuti controversi.
Questa fuga di notizie rivela sostanzialmente gli indirizzi e-mail personali di utenti di alto profilo, che potrebbero essere utilizzati per spammare, molestare o addirittura hackerare i loro account. Miklos Zoltan (CEO di Privacy Affairs) ha dichiarato che gli utenti di alto profilo potrebbero essere sommersi da tentativi di spamming e phishing.
Il vicepresidente esecutivo di BullWall Steve Hahn (ricercatore in materia di sicurezza informatica) ha suggerito di considerare la violazione molto preoccupante.
Hahn ha dichiarato che l’attore della minaccia ha iniziato la monetizzazione estorcendo persone importanti. È probabile che la vicenda si concluda in questo modo. Nel dicembre 2017, Elon Musk è stato vittima di estorsione. Questi dati possono portare a molti doxing.
Hahn ha fatto due esempi: “un funzionario pubblico sposato con un account anonimo che segue e apprezza le foto su Twitter delle lavoratrici del sesso o un dipendente scontento di un NDA che pubblica informazioni incriminanti trapelate su un ex datore di lavoro”.
È possibile che anche un utente medio pubblichi post molto controversi che potrebbero portare al licenziamento.
Hahn ha dichiarato che, con queste informazioni così facilmente disponibili, qualsiasi persona malintenzionata o malvagia potrebbe raccogliere i nomi collegati agli handle anonimi di Twitter. Poi potrebbe iniziare a “screenshottare” la loro attività nel tentativo di estorcerli o metterli in imbarazzo. Questo è il sogno ultimo di un ricercatore all’opposizione politica. È un incubo per tutti gli altri. Dovreste anche utilizzare password diverse per ogni sito.