İddialara göre, 400 milyon Twitter kullanıcısının özel e-postalar ve bağlantılı telefon numaralarını içeren veriler karaborsada satışa sunuldu.
Siber suç istihbarat şirketi Hudson Rock, 24 Aralık’ta Twitter’da paylaştığı bir gönderide birinin, 400 milyon Twitter kullanıcı hesabının iletişim bilgilerini içeren özel bir veri tabanını satışa sunduğunu açıkladı.
Hudson Rock, konuya ilişkin “Özel veri tabanı, AOC, Kevin O’Leary, Vitalik Buterin ve daha fazlası gibi yüksek profilli kullanıcıların e-postaları ve telefon numaraları dahil olmak üzere yıkıcı miktarda bilgi içeriyor” açıklamalarında bulundu ve ekledi:
“Tehdidi oluşturan aktör, verileri 2022 yılının başlarında Twitter’da meydana gelen bir güvenlik açığı sırasında elde etti ve Elon Musk’ı, söz konusu verileri satın almaya zorluyor ve satın almadığı senaryoda ise GDPR davalarıyla karşı karşıya kalmakla tehdit ediyor.”
Hudson Rock, çalınan hesap verilerinin sayısı göz önüne alındığında siber saldırganın iddialarını tam olarak doğrulayamadığını bildirdi.
BREAKING: Hudson Rock discovered a credible threat actor is selling 400,000,000 Twitter users data.
The private database contains devastating amounts of information including emails and phone numbers of high profile users such as AOC, Kevin O’Leary, Vitalik Buterin & more (1/2). pic.twitter.com/wQU5LLQeE1
— Hudson Rock (@RockHudsonRock) December 24, 2022
Bununla birlikte Web3 güvenlik şirketi DeFiYield da bilgisayar korsanı tarafından örnek olarak sunulan 1.000 hesaba baktı ve verilerin gerçek olduğunu doğruladı. DeFiYield, ayrıca telegram aracılığıyla saldırgan ile bağlantı kurduklarını ve saldırganın söz konusu platform üzerinden alıcılarını beklediğini açıkladı.
Söz konusu 400 milyon hesabın veri tabanı bilgilerinin çalındığı gerçekten doğrulandığı senaryoda, özellikle takma isimli hesaplara sahip olan kullanıcılar için bu durum bir faciaya dönüşebilir.
Bilindiği üzere daha önceleri Twitter’daki mevcut aktif aylık kullanıcı sayısının 450 milyon civarında olduğu bildirilmişti. Ne var ki kimi kullanıcılar, bu bilgilerin ışığında, bu kadar büyük ölçekli bir siber saldırıya inanmanın zor olduğunu belirtti.
Haberin çevrildiği yayın saati itibarıyla, sözde bilgisayar korsanının çalmış olduğu veri tabanı bilgilerini satışa çıkardığına ilişkin gönderisi hala mevcut. Hacker, gönderisinde Elon Musk’ın, eğer Genel Veri Koruma Yönetmeliği ajansı ile karşı karşıya kalmak istemiyorsa veri tabanı bilgilerini kendisinden 276 milyon dolara satın alması gerektiğini bildirdi.
Hacker, ayrıca Elon Musk bu ücreti ödemeyi kabul ederse söz konusu verilerin, pek çok ünlünün ve politikacının kimlik avı, kripto dolandırıcılığı, Sim takası ve Doxxing gibi diğer can sıkıcı durumlardan kurtulabilmesi adına başkalarına satılmayacağını belirtti.
Öte yandan ihlal edilen verilerin bir güvenlik açığı olan Zero-Day Hack’in meydana gelmesiyle çalındığı ortaya çıktı. Bu güvenlik açığının iste Haziran 2021’de ortaya çıktığı bildirildi. Söz konusu güvenlik açığı, aslında siber saldırganın daha sonrasında karaborsada verileri satabilmek için çalmalarına imkân tanımış oldu.