ネットサービス

ハッカー「Ryushi」が4億以上のTwitterアカウントの個人情報削除と引き換えに20万ドルを要求、自衛方法はコレ


Twitterの脆弱(ぜいじゃく)性を突いて盗み出したとされる4億人分のユーザーデータを、Ryushiと名乗るハッカーが売り出そうとしていることが分かりました。RyushiはTwitterやイーロン・マスクCEOを相手取ってデータの購入を迫り、「EUの一般データ保護規則(GDPR)による多額の罰金を食らう前に即刻購入せよ」と要求しています。

Hacker claims to be selling Twitter data of 400 million users
https://www.bleepingcomputer.com/news/security/hacker-claims-to-be-selling-twitter-data-of-400-million-users/

ハッカーフォーラムに投稿されたRyushiの声明によると、Ryushiはメールアドレスや名前、電話番号などの非公開情報を含む4億人分のユーザーデータをTwitterから盗み出したとのこと。RyushiはTwitterとTwitterのイーロン・マスクCEOを名指しして20万ドル(約2600万円)でのデータの購入を迫り、購入すればデータを削除すると主張しています。Twitterがこれに応じない場合、1回あたり6万ドル(約800万円)で複数の人にコピーを販売するとのこと。

Ryushiは以前Facebookから5億3300万人分のデータが流出した事件を引き合いに出し、「(FacebookがGDPR違反の罰金として支払った)2億7600万ドル(約380億円)を回避する最もよい方法は、このデータを独占的に購入することだ」と脅迫しました。また、Ryushiはサンプルデータとしてアレクサンドリア・オカシオ=コルテス下院議員やドナルド・トランプ・ジュニア氏らを含むとされる1000人分のデータを公開しています。

Data for 400 million Twitter users are for sale. Contains emails and phone numbers allegedly obtained via an API vulnerability.

The sample posted shows high profile accounts including @VitalikButerin @mcuban and @briankrebs.

Stay say, friends. Watch for targeted attacks! pic.twitter.com/oaDQp9Ky8W

— Nick Percoco (@c7five)


調査会社Hudson Rockのアロン・ギャルCTOは「データが本物である可能性がますます高まっています。このデータはおそらくハッカーが電子メールと電話番号を照会してTwitterプロファイルを取得できるAPIの脆弱性を突いて取得したものであり、Facebookから5億3300万人分のユーザーデータが流出した事件と極めて類似したものです」と指摘しました。

Ryushiから詳しい情報を聞き出したBleepingComputerによると、Ryushiは以前Twitterで540万人分のユーザーデータ流出を引き起こしたAPIの脆弱性を使用して情報を取得したとのこと。これはTwitterが2022年1月に修正したものですが、Ryushiは修正前に同じ方法を試していたようです。

なお、Facebookの調査も担当したアイルランドのデータ保護委員会(DPC)が2022年12月23日からデータ流出の経緯について調査を始めています

ニュースサイトのMakeUseOfはデータ流出に伴う自衛策として、以下のものをあげています

・ほかのサービスでTwitterに登録したメールアドレスを使用している場合はすぐに変更すること
・電話番号も同様に変更すること
・今後登録するすべてのサービスでメールアドレスのエイリアスを使用すること
・可能な場合は予備の電話番号を使用すること
・アプリベースの二要素認証を使用すること

この記事のタイトルとURLをコピーする

・関連記事
Facebook・Instagram運営のMetaにEUのデータ保護規則違反で380億円超の罰金 - GIGAZINE

Facebookが約5億人の個人情報を漏えいした件でデータ保護委員会が調査を開始 - GIGAZINE

Facebookが5億3000万人分のユーザーデータ流出事件について公式見解を発表、「システムがハッキングされたわけではない」 - GIGAZINE

Facebookから5億3300万人分のユーザーデータが流出、史上最悪のデータ漏えいになるとの指摘も - GIGAZINE

in ネットサービス,   セキュリティ, Posted by log1p_kr

You can read the machine translated English article here.