Dados de 400 milhões de usuários do Twitter contendo e-mails privados e números de telefone vinculados foram colocados à venda no mercado negro.
A empresa de inteligência de crimes cibernéticos Hudson Rock citou uma "ameaça crível" via Twitter na qual alguém supostamente vende um banco de dados privado contendo os detalhes de contato de 400 milhões de contas do Twitter.
"O banco de dados privado contém quantidades devastadoras de informações, incluindo e-mails e números de telefone de usuários de alto perfil, como AOC, Kevin O'Leary, Vitalik Buterin e outros", disse Hudson Rock.
Ele acrescentou que o detentor da ameaça alega que os dados foram obtidos no início deste ano devido a uma vulnerabilidade no Twitter, bem como tentativas de extorquir Elon Musk para comprar dados ou enfrentar ações judiciais sob o GDPR.
Hudson Rock disse que, embora não tenha conseguido verificar as alegações do hacker em relação ao número de contas, a verificação independente dos dados em si parecia legítima.
A empresa de segurança Web3 DeFiYield também analisou as milhares de contas fornecidas pelo hacker como uma amostra e confirmou que os dados eram "reais". Ele também entrou em contato com os hackers via Telegram e notou que eles estavam esperando ativamente por um comprador lá.
Se for descoberto que é verdade, a violação pode ser um motivo significativo de preocupação para os usuários do Twitter da Crypto, especialmente aqueles que trabalham sob um pseudônimo.
No entanto, alguns usuários apontaram que é difícil acreditar em uma violação de uma escala tão grande, dado que o número atual de usuários mensais ativos é de cerca de 450 milhões.
A empresa de segurança Web3 DeFiYield também analisou 1.000 contas que o hacker alegou ter e verificou que os dados eram "reais".
Ele também entrou em contato com o hacker via Telegram e observou que eles estão esperando ativamente por um comprador.
Entende-se que os dados violados em questão vieram do "Zero-Day Hack" de 2021, que permitiu que hackers coletassem informações privadas que eles compilaram em bancos de dados para vender na dark web. O bug foi corrigido em janeiro deste ano.
"Vimos violações de dados como essa antes de anunciar informações pessoais em sites para pagamentos que se revelaram em grande parte incorretos", disse o consultor global de segurança cibernética Jack Moore.
Os cibercriminosos muitas vezes hackeiam uma pequena fração de dados e, em seguida, afirmam ter muito mais em seu banco de dados, a fim de aumentar o pagamento de um resgate. No entanto, uma fração dos dados vazados foi confirmada e pode ter grandes consequências com suas informações confidenciais roubadas.
Moore aconselhou as pessoas a permanecerem atentas a e-mails de phishing e outros ataques potenciais que muitas vezes seguem após violações como essa.
"Também é vital ter a autenticação de dois fatores ativada para o Twitter e outras contas, como carteiras digitais", disse ele.