あるハッカーが、現在は修正されているAPIの脆弱性を利用して2021年に入手した4億人分のTwitterユーザーの公開データ及びプライベートデータを20万ドル（2,700万円）で販売すると投稿しているようだ。

この疑惑のデータは、データ侵害で盗まれたユーザーデータの販売に用いられるサイト「Breached hacking forum」にて、「Ryushi」と言う名義の人物によって販売されている。

Ryushiの目的としては、Twitter及びElon Musk氏に、欧州のプライバシー法GDPRに基づく多額の罰金を払う事になる前に、データを購入しておく方が得策であるとして、Twitterに当該データを購入させたいことのようだ。

Ryushiは同フォーラムに以下のように書き込んでいる。

TwitterまたはElon Musk、あなたがこれを読んでいるなら、あなたはすでに4億ユーザーと5億4,000万件の画像侵害によって、GDPRの罰金を科される危険にさらされている。FacebookがGDPR違反の罰金で2億7,600万ドルを支払う事になったような事態を避けるための最善の選択は、このデータを独占的に購入することだ。

また、このRyushiは、このデータが悪用された場合のリスクについてもご丁寧にリンクを貼って説明しているという。

同氏が入手したユーザーの例として、フォーラムの投稿には、Alexandria Ocasio-Cortez, Donald Trump JR, Mark Cuba, Kevin O’Leary, Piers Morganなどの著名人37名や、政治家、ジャーナリスト、企業、政府機関のサンプルデータが掲載された。更に後日、プロフィール1,000件の大規模なサンプルも流出させている。このユーザープロフィールデータには、メールアドレス、名前、ユーザー名、フォロワー数、作成日、電話番号など、公開および非公開のTwitterデータが含まれているという。メールアドレスと電話番号という、本人でないとアクセス出来ない情報が含まれていることは脅威だろう。

BleepingComputerは、このRyushiとコンタクトを取り、この脅威者がTwitterにこのデータを買い取らせたいこと、その後にはデータを削除する予定であると伝えている。ただし、Twitterが応じない場合は、このデータをコピーして6万ドル（約690万円）で複数人に販売する予定であると伝えているようだ。

また、RyushiはTwitterに身代金の要求のために連絡をしたようだが、応答はなかったとしている。

BleepingComputerでは、RyushiがTwitterが2022年1月に修正したAPIの脆弱性を突いてデータを取得した事も確認したという。この脆弱性では以前540万人のデータが流出したことがあった。だが、今回の件もあって、修正前に複数の脅威者によって個人情報の大量のスクレイピングが行われていた事が発覚した。

セキュリティ企業のHudson RockのAlon Gal氏は、「独自に検証したところ、データ自体は正当なもののようで、何か進展があればフォローアップします。」としており、このRyushiが公開したサンプルデータが、実際に正確な情報を示していることを確認しているという。ただし、Ryushiが本当に4億人分ものデータを持っているかは確認出来ていないとツイートしている。

さらに、今回用いられた脆弱性については、別のハッカーが、この脆弱性を利用して1700万人とされるユーザーのデータをスクレイピングしたと主張しているとのことだ。しかし、この流出はまだ非公開であり、販売されていない。

Source

• BleepingComputer: Hacker claims to be selling Twitter data of 400 million users