黑客勒索推特，将出售4亿用户数据

黑客以20万美元的价格出售4亿推特用户数据。

近日，有名为Ryushi的黑客在论坛以20万美元的价格出售4亿推特用户数据，包含公开和隐私数据。黑客称这些数据是通过推特的一个API漏洞来获取的。

黑客向马斯克和推特勒索，称其应该在欧盟GDPR罚款之前购买这些数据。因为之前Facebook 5.33亿用户数据泄露被GDPR法律罚款，因此黑客向推特勒索2.76亿美元的赎金。

图 黑客在论坛出售4亿推特用户数据

黑客解释了这些数据的潜在用途，攻击者利用这些数据可以实现钓鱼攻击、加密货币垃圾邮件、BEC攻击等。

黑客还发布了样本数据，其中包含37个名人、政客、记者、政府机构的数据，包括美国议员Alexandria Ocasio-Cortez、美国前总统特朗普、美国最知名投资人马克库班（Mark Cuban）、Kevin O'Leary、主持人皮尔斯·摩根。此外，还有1000个推特用户简介信息泄露。

用户信息中既包括公开和隐私的推特用户数据，包括用户邮件地址、姓名、用户名、关注者数量、创建日期、手机号码。泄露的用户简介信息中都关联了邮箱地址，但许多账户并没有手机号。

虽然泄露的用户数据都是公开可访问的，但手机号和邮箱地址属于隐私信息。

 Ryushi称其计划将这4亿用户数据以20万美元的价格排外地出售给一个人或推特，然后将删除这些数据。如果出售不成功，将以6万美元的价格出售给多个用户。在问及是否联系推特支付赎金时，Ryushi称其已经联系了推特，但尚未得到回复。

攻击者称这些数据是通过一个推特 API 漏洞来收集的。该漏洞允许用户向推特API输入手机号码和邮箱地址，就可以获得对应的推特用户id。然后攻击者利用该id和IP来获取用户的公开个人简介数据，将推特用户的公开数据和隐私数据关联在一起。

推特已于2022年1月修复了该漏洞。但之前已有多名黑客利用该漏洞抓取了推特用户数据，其中有黑客出售了超过540万用户数据。

威胁情报公司Hudson Rock的研究人员Alon Gal验证了泄露的样本数据，并确认了样本数据的真实性。但称目前还无法完全确定数据库中4亿用户数据的真实性。

此前推特已确认了API漏洞问题。但截止目前，推特未对本次数据泄露事件进行回应。