Cyberthreat.id – Pelaku ancaman mengklaim menjual data publik dan pribadi dari 400 juta pengguna Twitter yang diambil pada tahun 2021 menggunakan kerentanan API yang sekarang telah diperbaiki. Mereka meminta US$200.000 atau sekitar Rp3,12 miliar untuk obral eksklusif.

Dump data yang diduga dijual oleh aktor ancaman bernama 'Ryushi' di forum peretasan yang Dilanggar, sebuah situs yang biasa digunakan untuk menjual data pengguna yang dicuri dalam pelanggaran data.

Pelaku ancaman mengklaim telah mengumpulkan data 400+ juta pengguna Twitter unik menggunakan kerentanan. Mereka memperingatkan Elon Musk dan Twitter bahwa mereka harus membeli data tersebut sebelum dikenakan denda besar berdasarkan undang-undang privasi GDPR Eropa.

"Twitter atau Elon Musk jika Anda membaca ini, Anda sudah mempertaruhkan denda GDPR atas pelanggaran 5,4 juta yang menggambarkan denda sumber pelanggaran pengguna 400 juta," tulis Ryushi dalam posting forum dilansir Bleeping Computer, Selasa (27/12).

"Pilihan terbaik Anda untuk menghindari membayar denda pelanggaran GDPR sebesar $276 juta USD seperti yang dilakukan facebook (karena 533 juta pengguna dihapus) adalah dengan membeli data ini secara eksklusif."

Pelaku ancaman juga menautkan ke postingan yang menjelaskan bagaimana data ini dapat disalahgunakan oleh pelaku ancaman lain untuk serangan phishing, penipuan crypto, dan serangan BEC.

Posting forum mencakup data sampel untuk tiga puluh tujuh selebritas, politisi, jurnalis, perusahaan, dan lembaga pemerintah, termasuk Alexandria Ocasio-Cortez, Donald Trump JR, Mark Cuba, Kevin O'Leary, dan Piers Morgan. Selain itu, sampel yang lebih besar dari 1.000 profil pengguna Twitter bocor kemudian.

Profil pengguna berisi data Twitter publik dan pribadi, termasuk alamat email pengguna, nama, nama pengguna, jumlah pengikut, tanggal pembuatan, dan nomor telepon. Meskipun semua profil yang bocor tampaknya memiliki alamat email yang terkait dengannya, banyak yang tidak memiliki nomor telepon.

Meskipun hampir semua data ini dapat diakses publik oleh semua pengguna Twitter, nomor telepon dan alamat email merupakan informasi pribadi.

Aktor ancaman Ryushi memberi tahu BleepingComputer bahwa mereka mencoba untuk menjual data Twitter secara eksklusif kepada satu orang/Twitter seharga $200.000 dan kemudian akan menghapus data tersebut. Jika pembelian eksklusif tidak dilakukan, mereka akan menjual salinan ke banyak orang seharga $60.000 per penjualan.

Ketika ditanya apakah mereka menghubungi Twitter untuk meminta tebusan data, mereka memberi tahu BleepingComputer bahwa mereka menghubungi Twitter dan melakukan panggilan tetapi tidak mendapat tanggapan.