Una fuga di dati contenente gli indirizzi e-mail di oltre 200 milioni di utenti di Twitter è stata pubblicata su un popolare forum di hacker. Gli esperti di BleepingComputer hanno verificato e confermato la validità di molti degli indirizzi e-mail dell’enorme archivio trapelato.
Alla fine di luglio 2022, gli attori delle minacce avevano venduto e fatto circolare grandi set di dati di profili utente Twitter contenenti sia dati privati (numeri di telefono e indirizzi e-mail) che pubblici su vari forum di hacker online e mercati del crimine informatico.
Questi set di dati sono stati creati nel 2021 sfruttando una vulnerabilità dell’API di Twitter che consentiva agli utenti di inserire indirizzi e-mail e numeri di telefono per confermare se fossero associati a un ID Twitter. Gli attori delle minacce hanno quindi utilizzato un’altra API per raccogliere i dati pubblici di Twitter per l’ID e hanno combinato questi dati pubblici con indirizzi e-mail/numeri di telefono privati per creare profili degli utenti di Twitter.
Twitter aveva risolto la vulnerabilità. Ciononostante, nel gennaio 2022 diversi attori delle minacce hanno iniziato a far trapelare gratuitamente i set di dati raccolti più di un anno fa.
Il primo set di dati di 5,4 milioni di utenti è stato messo in vendita a luglio per $ 30.000 e infine rilasciato gratuitamente il 27 novembre 2022. Un altro set di dati presumibilmente contenente i dati per 17 milioni di utenti circolava anche privatamente a novembre.
Più di recente, un attore delle minacce ha iniziato a vendere un set di dati che conterrebbe 400 milioni di profili Twitter raccolti utilizzando questa vulnerabilità.
Adesso, un attore delle minacce ha rilasciato un set di dati composto da 200 milioni di profili Twitter sul forum di hacking violato per otto crediti della valuta del forum.
Questo set di dati è presumibilmente lo stesso set di 400 milioni in circolazione a novembre, ma ripulito per non contenere duplicati, riducendo il totale a circa 221.608.279 righe. Tuttavia, i test di BleepingComputer hanno anche confermato i duplicati in questi ultimi dati trapelati.
I dati sono stati rilasciati come archivio RAR composto da sei file di testo per una dimensione complessiva di 59 GB di dati. Ciascuna riga nei file rappresenta un utente di Twitter e i suoi dati, che includono indirizzi e-mail, nomi, nomi delle schermate, conteggi dei follower e date di creazione dell’account,
A differenza dei dati trapelati in precedenza raccolti utilizzando questo difetto dell’API di Twitter, la fuga di oggi non indica se un account è verificato.
Mentre BleepingComputer è stato in grado di confermare che gli indirizzi e-mail sono corretti per molti dei profili Twitter elencati, il set di dati completo non è stato confermato. Inoltre, il set non risulta completo in quanto molti utenti non sono stati trovati nella fuga di notizie.
BleepingComputer ha contattato Twitter in merito a questa fuga di dati. Al momento non ha ricevuto risposta.