Data van miljoenen Twitteraars online te koop

Een hacker beweert dat hij de telefoonnummers en e-mailadressen van 5,4 miljoen Twitter-accounts kon bemachtigen en probeert die nu voor 'minstens 30.000 dollar' te verpatsen.

De hacker probeert de database te verkopen via het gespecialiseerde Breach Forums, zo ontdekte Restore Privacy als eerste. De onbekende aanbieder - het kan dus even goed om een grotere hackinggroep gaan - postte een kleine sample van de gegevens. BleepingComputer bevestigt dat die kleine dataset wel degelijk correcte e-mailadressen en telefoonnummers bevat maar dat wil nog niet zeggen dat de overige gegevens van meer dan 5 miljoen gebruikers ook effectief in de aangeboden database terug te vinden zijn.

De verkoper stelt dat het gaat om gegevens van zowel bekende mensen, bedrijven als 'gewone' Twittergebruikers. Tegen Restore Privacy vertelde de anonieme verkoper dat hij 'niet minder dan 30.000 dollar' wil verdienen aan de dataset.

Bug bounty

De aanvaller kon de data naar eigen zeggen achterhalen op basis van een bug bij Twitter: een claim die volgens de eigenaar van Breach Forums ook klopt. Dat achterpoortje werd op de eerste dag van het jaar gemeld op HackerOne: een platform waar testers en beveiligingsonderzoekers security-problemen en kwetsbaarheden kunnen melden. Na onderzoek wist Twitter het probleem te bevestigen en het lek te dichten. De beveiligingsonderzoeker kreeg als beloning ook een 'bug bounty' door Twitter uitgekeerd van welgeteld 5.040 dollar.

Twitter onderzoekt het verhaal en heeft het bestaan van de database met 5,4 miljoen gebruikersgegevens nog niet officieel bevestigd.

In samenwerking met Data News