Twitter vừa cho biết vụ rò rỉ dữ liệu chứa hơn 200 triệu tên và địa chỉ email người dùng không phải là kết quả của việc khai thác bất kỳ lỗi kỹ thuật nào trên nền tảng của họ.
Theo trang Bloomberg, công ty thông báo trong bài đăng trên blog rằng “không có bằng chứng nào cho thấy dữ liệu bị rao bán trực tuyến có được bằng cách khai thác lỗ hổng của hệ thống Twitter”.
Twitter cho biết kho thông tin người dùng không khớp với dữ liệu bị lộ trong các sự cố bảo mật trước đó.
Tuần trước, một người dùng ẩn danh trên diễn đàn hack BreachForums đã rao bán cơ sở dữ liệu "có chứa thông tin cơ bản về hơn 200 triệu người dùng Twitter".
BreachForums là diễn đàn thường được sử dụng để bán dữ liệu người dùng bị đánh cắp trong các vụ hack.
Các chuyên gia trước đây tin rằng hacker có thể lợi dụng lỗ hổng trong những dịch vụ dành cho lập trình viên của Twitter để đánh cắp dữ liệu.
Thế nhưng, Twitter cho biết: “Dữ liệu có thể là một tập hợp dữ liệu đã được công khai trực tuyến thông qua các nguồn khác nhau”.
Hôm 11.11, Twtter cảnh báo người dùng nên sử dụng xác thực hai yếu tố và cẩn thận hơn khi nhận được email có thể được sử dụng để đánh cắp thông tin đăng nhập của họ.
Ngày 5.11, Reuters đưa tin chuyên gia bảo mật cho rằng hacker đã đánh cắp địa chỉ email hơn 200 triệu người dùng Twitter và đăng chúng lên BreachForums hòng thu lợi bất chính.
"Thật không may, vụ rò rỉ này sẽ dẫn đến rất nhiều vụ hack và lừa đảo có chủ đích", Alon Gal, đồng sáng lập công ty giám sát an ninh mạng Hudson Rock (Israel), viết trên LinkedIn. Alon Gal cho rằng "đây là một trong những vụ rò rỉ nghiêm trọng nhất mà ông từng chứng kiến".
Theo nhiều nguồn tin, tập tài liệu được phát tán bao gồm địa chỉ email hoặc số điện thoại của khoảng 235 triệu người dùng Twitter. Thông tin này đã được ghép nối với các chi tiết được thu thập công khai từ hồ sơ người dùng, cho phép tội phạm mạng tạo hồ sơ dữ liệu hoàn chỉnh hơn về các nạn nhân tiềm năng.
Trang Bleeping Computer cảnh báo rằng thông tin của mỗi người dùng không chỉ có địa chỉ email, số điện thoại mà còn gồm tên, số lượng người theo dõi và ngày tạo tài khoản.
Trang Gizmodo cho rằng dữ liệu người dùng có dung lượng 63 GB đó thực tế đã bị đánh cắp từ năm 2021.
Tờ Washington Post đưa tin các hacker đã khai thác lỗ hổng API trong nền tảng của Twitter để tra cứu thông tin người dùng được kết nối với hàng trăm triệu tài khoản khác.
Lỗi này đã tạo ra một chức năng “tra cứu” kỳ lạ, cho phép bất kỳ người nào nhập số điện thoại hoặc email vào hệ thống của Twitter. Sau đó, chức năng này sẽ xác minh xem thông tin xác thực có được kết nối với một tài khoản đang hoạt động hay không. Thậm chí lỗ hổng này còn tiết lộ cụ thể tài khoản nào được liên kết với thông tin đăng nhập được đề cập.
Lỗ hổng ban đầu được phát hiện ở chương trình phát hiện lỗi có thưởng của Twitter vào tháng 1.2022. Song mãi đến tháng 8.2022, phía Twitter mới chính thức công khai thừa nhận lỗ hổng này.
Trong một bài đăng trên blog, Twitter cho biết lỗi đó là kết quả của việc cập nhật đoạn mã vào tháng 6.2021. Vào thời điểm đó, Twitter trấn an người dùng rằng “không có bằng chứng nào cho thấy ai đó đã lợi dụng lỗ hổng này”.
Tuy vậy, một bộ dữ liệu được cho chứa địa chỉ email và số điện thoại của hơn 400 triệu người dùng Twitter sau đó đã được rao bán trên BreachForums. Hacker tuyên bố bộ dữ liệu có cả những người nổi tiếng, doanh nghiệp và tổ chức chính phủ. Hacker có nickname Ryushi đã chia sẻ hai mẫu dữ liệu trên BreachForums, với cựu Thủ tướng Úc - Scott Morrison có thể nằm trong số những người dùng Twitter bị ảnh hưởng.
Hồ sơ người dùng bị rao bán chứa dữ liệu Twitter công khai và riêng tư, gồm cả địa chỉ email, tên, tên người dùng và số điện thoại.
Hacker tuyên bố một lỗ hổng hệ thống vào năm ngoái giúp chúng đánh cắp dữ liệu trước khi sự cố được khắc phục vào đầu năm 2022.
Ryushi trực tiếp đề cập đến Elon Musk, Giám đốc điều hành Twitter, nói rằng công ty của ông đang phải đối mặt với những hậu quả từ chính quyền châu Âu vì vụ rò rỉ dữ liệu trước đó. Ngoài ra, hacker kêu gọi tỷ phú 51 tuổi người Mỹ mua lại dữ liệu để ngăn chặn sự cố tiếp theo.
Ryushi nói với trang Bleeping Computer rằng đang cố bán cho Twitter dữ liệu với giá 200.000 USD rồi sẽ xóa dữ liệu đó, hoặc bán các bản sao cho nhiều người với giá 60.000 USD mỗi lần bán hàng.
Trước đó, Twitter có nguy cơ bị phạt nặng khi Ủy ban Bảo vệ Dữ liệu Ireland, cơ quan quản lý quyền riêng tư hàng đầu ở Liên minh châu Âu (EU), mở cuộc điều tra về việc rò rỉ dữ liệu hơn 5,4 triệu người dùng vào năm ngoái.
Cụ thể hơn, Ủy ban Bảo vệ Dữ liệu Ireland cho biết đã quyết định bắt đầu cuộc điều tra về tin đồn một hoặc nhiều bộ dữ liệu cá nhân của người dùng Twitter được rao bán trên internet.
Ủy ban Bảo vệ Dữ liệu Ireland là cơ quan giám sát chính với một số hãng công nghệ lớn nhất Thung lũng Silicon (Mỹ), gồm cả Twitter.
Cơ quan này cho biết: "Những bộ dữ liệu này được báo cáo là chứa dữ liệu cá nhân liên quan đến ít nhất khoảng 5,4 triệu người dùng Twitter trên toàn thế giới. Các bộ dữ liệu này được báo cáo là ID Twitter tới địa chỉ email hoặc số điện thoại của các người dùng được liên kết với nền tảng".
Dữ liệu ít nhất 5,4 triệu người dùng Twitter đã được rao bán với giá 30.000 USD vào tháng 7.2022 trên diễn đàn hack, ngay cả khi phần lớn thông tin được công khai, bao gồm ID Twitter, tên, tên đăng nhập, địa phương và trạng thái đã xác minh. Cơ sở dữ liệu bị tấn công cũng chứa dữ liệu riêng tư, gồm cả địa chỉ email và số điện thoại.
Thông tin này được thu thập vào tháng 12.2021 thông qua lỗ hổng API Twitter, đã được công khai trong chương trình tiền thưởng lỗi HackerOne. Lỗ hổng này cho phép bất kỳ ai gửi địa chỉ email hoặc số điện thoại tới API và liên kết chúng với ID Twitter tương ứng.
Sau khi thảo luận với Twitter về vấn đề này, chính quyền Ireland cho biết công ty có thể vi phạm “một hoặc nhiều điều khoản" trong Quy định bảo vệ dữ liệu chung của EU (GDPR).
Với tư cách là bên kiểm soát dữ liệu liên quan đến việc xử lý dữ liệu người dùng, Ủy ban Bảo vệ Dữ liệu Ireland muốn xem liệu có bất kỳ luật nào, bao gồm Quy định bảo vệ dữ liệu chung và Đạo luật bảo vệ dữ liệu 2018 mà Twitter bị vi phạm hay không. Theo quy định GDPR, cơ quan này có quyền thu tiền phạt lên tới 4% doanh thu hàng năm của công ty vi phạm.
Sự giám sát toàn cầu với Twitter đã lên đến đỉnh điểm sau khi được Elon Musk mua lại với giá 44 tỉ USD hồi cuối tháng 10.2022.
Các vi phạm bị nghi xảy ra trước khi Elon Musk mua lại Twitter, nhưng cũng làm dấy lên lo ngại về khả năng bảo vệ dữ liệu người dùng của công ty truyền thông xã hội này.
Hôm 4.1 vừa qua, Meta Platforms (công ty mẹ của Facebook và Instagram) bị cơ quan quản lý dữ liệu châu Âu phạt tổng cộng 390 triệu euro vì để lộ thông tin 533 triệu người dùng. Mức phạt được thông báo từ Ủy ban Bảo vệ Dữ liệu Ireland.