האקרים דורשים כופר ממאסק: "פרטי 400 מיליון משתמשי טוויטר בידינו"
האקרים דורשים כופר ממאסק: "פרטי 400 מיליון משתמשי טוויטר בידינו"
ההאקרים העתיקו את המידע ב-2021, וכעת פרסמו חלק מהמאגר שבידיהם, הכולל בין השאר פרטים של חברת הקונגרס אלכסנדריה אוקסיו-קורטז, דונלד טראמפ ג'וניור והמיליארדר מארק קובן; סכום הכופר הנדרש - 200 אלף דולר
טוויטר מעולם לא נחשבה לפלטפורמה מאובטחת במיוחד ובטח עוד פחות מאז הגילויים על פרצות אבטחה וגניבות מידע שבוצעו בשרתיה. אבל את הסחיטה הנוכחית, אלון מאסק לא היה ממש צריך על הגב שלו.
האקרים פרסמו לפני כמה ימים בפורום סייבר דוגמית של מאגר שלדבריהם כולל פרטים של כ-400 מיליון משתמשי טוויטר, בהם חברת הקונגרס אלכסנדריה אוקסיו-קורטז, דונלד טראמפ ג'וניור, המיליארדר מארק קובן והעיתונאי הבריטי פירס מורגן. בשבריר המאגר שפורסם נכללו פרטיהם של כ-1,000 משתמשים פרטיים ועוד כ-37 סלבריטאים, כך לפי אתר הסייבר Bleeping Computer הבריטי שבדק את המידע.
ההאקרים ניצלו פרצת אבטחה ופשוט העתיקו את הפרטים כבר ב-2021, כלומר לפני שמאסק רכש את טוויטר. הפרצה נחסמה מוקדם יותר השנה אך הנזק כך נראה כבר נגרם. למרות שחלק ניכר מהמידע הוא גם כך פומבי, ההאקרים צירפו כתובות מייל ומספרי טלפון המשמשים לאימות חשבונות בעיקר אם מדובר במשתמשי "וי כחול" שמאומתים על ידי טוויטר.
אגב, את סיפור פרצת האבטחה שהיתה זמינה, רשות הפרטיות האירית כבר חוקרת בעיקר מאז אירוע סייבר אחר במסגרתו נגנבו פרטיהם של 5.4 מיליון משתמשים באותה השיטה. כעת מתברר שככל הנראה זו הפכה למאוד פופולרית בקרב הרבה מאוד האקרים שישמחו למכור את המידע המטויב למאגרי ספאם במקרה הטוב, או כדי שישמש למתקפות פישינג וגניבת פרטים במקרה הרע.
מפרסם פוסט האיום - דמות המתקראת בשם Ryushi - הציע למאסק לשלם את הכופר הנדרש שעומד כרגע על כ-200 אלף דולר. "טוויטר או אלון מאסק, מי מכם שקורא את זה, אתם כבר מסתכנים בקנס GDPR (חוקי הגנת הפרטיות האירופאים, ר''ק) על גניבת 5.4 מיליון משתמשים. נחשו כמה יעלה לכם קנס על גניבה של 400 מיליון משתמשים? לפחות 276 מיליון דולר כמו ששילמה פייסבוק על גניבת 533 מיליון משתמשים".
ההאקרים עשו את שיעורי הבית שלהם. האירוע עם טוויטר אכן הוביל לתשלום קנס של מאות מיליוני דולרים, שכן הפרות GDPR יכולות להביא לקנסות של עד 4% מסך ההכנסות השנתיות של חברה או שירות. אגב, ההאקרים גם מוכנים למכור את המידע ב-60 אלף דולר - אך לא בבלעדיות.
חברת סייבר שבדקה חלק מהמאגר אישרה שהוא אכן כולל את מה שנטען - לפחות בדוגמית שסופקה. עם זאת לא ברור אם סך כל המידע שנגנב באמת שייך למשתמשים אמיתיים. טוויטר סובלת מבעיית בוטים - כלומר חשבונות אוטומטיים שמשמשים להפצת מסרים או פרסומות.