5,4 triệu người dùng Twitter bị rõ rỉ dữ liệu, tỷ phú Elon Musk nguy cơ dính phạt nặng

Theo đó, Twitter của Elon Musk có nguy cơ bị phạt nặng sau khi cơ quan quản lý quyền riêng tư hàng đầu của họ ở Liên minh Châu Âu mở cuộc điều tra các báo cáo về một vụ vi phạm dữ liệu bị nghi ngờ đã xâm phạm thông tin cá nhân của 5,4 triệu người dùng.

Cụ thể, Ủy ban Bảo vệ Dữ liệu của Ireland (cơ quan giám sát chính với Twitter tại EU,) vừa cho biết rằng họ đã quyết định bắt đầu một cuộc điều tra về các báo cáo rằng, có một hoặc nhiều bộ dữ liệu về thông tin cá nhân của người dùng Twitter "đã được cung cấp và rao bán trên internet".

Cơ quan này cho biết: "Những bộ dữ liệu này được báo cáo là chứa dữ liệu cá nhân liên quan đến ít nhất khoảng 5,4 triệu người dùng Twitter trên toàn thế giới. Các bộ dữ liệu này được báo cáo là ID Twitter tới địa chỉ email hoặc số điện thoại của các đối tượng dữ liệu được liên kết với nền tảng".

Dữ liệu từ ít nhất 5,4 triệu tài khoản cá nhân của người dùng Twitter đã được rao bán với giá 30.000 USD vào tháng 7 năm 2022 trên một trang web hack. Ngay cả khi phần lớn thông tin đã được công khai, bao gồm ID Twitter, tên, tên đăng nhập, địa phương và trạng thái đã xác minh. Cơ sở dữ liệu bị tấn công cũng chứa dữ liệu riêng tư, bao gồm địa chỉ email và số điện thoại.

Thông tin này được thu thập vào tháng 12 năm 2021 thông qua một lỗ hổng API Twitter đã được công khai thông qua chương trình tiền thưởng lỗi HackerOne. Lỗ hổng này cho phép bất kỳ ai gửi địa chỉ email hoặc số điện thoại tới API và liên kết chúng với ID Twitter tương ứng.

Chính quyền Ireland cho biết sau khi thảo luận với Twitter về vấn đề này, họ cho rằng "một hoặc nhiều điều khoản" trong Quy định bảo vệ dữ liệu chung của EU có thể đã bị Twitter vi phạm. Ủy ban Bảo vệ Dữ liệu của Ireland là cơ quan giám sát chính đối với một số công ty công nghệ lớn nhất của Thung lũng Silicon và cơ quan đã thiết lập cơ sở của EU tại quốc gia này.

Ủy ban Bảo vệ Dữ liệu Ireland (DPC), cơ quan giám sát chính đối với Twitter tại EU, đang điều tra xem liệu mạng xã hội khổng lồ này có tuân thủ các nghĩa vụ của mình hay không. Với tư cách là bên kiểm soát dữ liệu liên quan đến việc xử lý dữ liệu người dùng, DPC muốn xem liệu có bất kỳ luật nào, bao gồm Quy định bảo vệ dữ liệu chung (GDPR) và Đạo luật bảo vệ dữ liệu 2018 mà Twitter bị vi phạm hay không. Theo quy định GDPR, cơ quan này có quyền thu tiền phạt lên tới 4% doanh thu hàng năm của công ty bị vi phạm.

Có thể thấy, sự giám sát toàn cầu đối với Twitter đã lên đến đỉnh điểm sau thương vụ mua lại trị giá 44 tỷ đô la của CEO Tesla Elon Musk. Mặc dù các vi phạm bị nghi ngờ xảy ra trước khi tỷ phú mua lại, nhưng nó cũng làm dấy lên lo ngại về khả năng bảo vệ dữ liệu người dùng của gã khổng lồ truyền thông xã hội này.

Chia sẻ thêm về vấn đề này, Chad Loder, một chuyên gia bảo mật, cũng tiết lộ thông tin về một bãi chứa dữ liệu lớn hơn trên Twitter và Mastodon. Kết xuất này có thể chứa hàng triệu bản ghi Twitter có số điện thoại cá nhân được thu thập bằng cách sử dụng một lỗi trong API đã được sửa và một số dữ liệu có sẵn công khai, chẳng hạn như trạng thái đã xác minh, tên tài khoản, ID Twitter, tiểu sử và tên màn hình.

Ngoài thông tin được thu thập công khai như: ID Twitter, tên, tên hiển thị, trạng thái đã xác minh, vị trí, URL, mô tả, số lượng người theo dõi, ngày tạo tài khoản, số lượng bạn bè, số lượng yêu thích, số lượng trạng thái và URL hình ảnh hồ sơ, các bản ghi cũng bao gồm vô số dữ liệu riêng tư của người dùng, chẳng hạn như địa chỉ email cá nhân hoặc số điện thoại. Loder tuyên bố hàng triệu tài khoản Twitter ở EU và Hoa Kỳ đã bị ảnh hưởng bởi một vụ vi phạm dữ liệu nghiêm trọng trên Twitter.

"Tôi đã liên lạc với một số ít tài khoản bị ảnh hưởng và họ xác nhận rằng thông tin bị đánh cắp là có thật". Một email yêu cầu bình luận từ Twitter nhưng đã không được trả lời ngay lập tức.

Hacker đe dọa Elon Musk: "Chúng tôi có dữ liệu của 400 triệu người dùng Twitter"

Theo thông tin vừa cập nhật thì một kẻ đe dọa tuyên bố đang bán dữ liệu công khai và riêng tư của 400 triệu người dùng Twitter được thu thập vào năm 2021 bằng lỗ hổng API hiện đã được sửa. Tên này đang yêu cầu hơn 200.000 đô la để bán độc quyền.

Kết xuất dữ liệu bị cáo buộc đang được rao bán bởi một kẻ đe dọa tên là 'Ryushi' trên diễn đàn hack Breached, một trang web thường được sử dụng để bán dữ liệu người dùng bị đánh cắp trong các vụ vi phạm dữ liệu. Người bán tuyên bố cơ sở dữ liệu là riêng tư, anh ta đã cung cấp một mẫu gồm 1.000 tài khoản làm bằng chứng cho các cáo buộc bao gồm thông tin cá nhân của những người dùng nổi tiếng như Donald Trump JR, Brian Krebs, v.v.

Người bán, một thành viên của diễn đàn vi phạm dữ liệu có tên Ryushi, tuyên bố dữ liệu đã bị đánh cắp thông qua một lỗ hổng, nó bao gồm email và số điện thoại của những người nổi tiếng, chính trị gia, công ty, người dùng bình thường và rất nhiều tên người dùng đặc biệt.

Tác nhân đe dọa tuyên bố đã thu thập dữ liệu của hơn 400 triệu người dùng Twitter duy nhất bằng cách sử dụng lỗ hổng bảo mật. Người này cũng đã cảnh báo Elon Musk và Twitter rằng, họ nên mua dữ liệu trước khi vụ việc dẫn đến một khoản tiền phạt lớn theo luật bảo mật GDPR của Châu Âu.

"Twitter hoặc Elon Musk nếu bạn đang đọc điều này, bạn đã mạo hiểm với khoản tiền phạt GDPR đối với vi phạm dữ liệu của 400 triệu người dùng", Ryushi viết trong một bài đăng trên diễn đàn. "Lựa chọn tốt nhất của bạn để tránh phải trả 276 triệu USD tiền phạt vi phạm GDPR như Facebook đã gặp phải (do 533 triệu người dùng bị thu thập) là mua độc quyền dữ liệu này".