Hồ sơ của 235 triệu tài khoản Twitter và địa chỉ email sử dụng để đăng ký đã được đăng lên một diễn đàn hack trực tuyến.
Các chuyên gia bảo mật nói rằng vụ đánh cắp đã đặt ra các mối đe dọa nghiêm trọng khi tin tặc có thể sử dụng các tài khoản Twitter này để chỉ trích chính phủ hoặc các cá nhân có quyền lực. Theo đó, các hacker có thể sử dụng địa chỉ email để đặt lại mật khẩu và kiểm soát tài khoản, đặc biệt là những tài khoản không được bảo vệ bằng xác thực hai yếu tố.
Alon Gal, đồng sáng lập công ty bảo mật Hudson Rock của Israel, người đã phát hiện ra sự việc khi theo dõi một website ngầm nổi tiếng, cho biết: “Cơ sở dữ liệu này sẽ được tin tặc sử dụng để làm tổn hại đến quyền riêng tư của người dùng hơn nữa".
Washington Post phát hiện dữ liệu là một phần trong tổng số 400 triệu tài khoản người dùng mà hacker công bố ngày 23/12 trên một diễn đàn mua bán, nhưng khi đó chỉ mở "quyền truy cập thử nghiệm" tới 1.000 tài khoản. Khi đăng, tin tặc cảnh báo ông Elon Musk nên mua lại số dữ liệu này hoặc sẽ phải đối mặt các án phạt từ cơ quan quản lý.
"Twitter hoặc Musk, nếu ai đang đọc thông tin này, nên chuẩn bị số tiền phạt 276 triệu USD tương tự Facebook để nộp cho GDPR. Lựa chọn tốt nhất để tránh án phạt là mua lại toàn bộ dữ liệu", hacker thông báo. GDRP là quy định chung về bảo vệ dữ liệu của Liên minh châu Âu, ban hành từ năm 2016. Facebook, nay là Meta, bị cơ quan này phạt do để lộ thông tin 533 triệu người dùng vào tháng 4/2021.
Các tài khoản này có thể đã bị đánh cắp vào cuối năm 2021, thông qua một lỗ hổng trong hệ thống của Twitter cho phép hacker có thể truy cập vào địa chỉ email hoặc số điện thoại của bất kỳ tài khoản nào đã chia sẻ thông tin này với Twitter.
Vào tháng 8, Twitter tuyên bố họ đã biết về lỗ hổng này vào tháng 1 năm 2022 thông qua chương trình báo cáo lỗi và lỗ hổng này đã vô tình được đưa vào trong một bản cập nhật bảy tháng trước đó.
Vào tháng 7, tin tặc đã rao bán một bộ 5,4 triệu tài khoản Twitter cùng với các email và số điện thoại liên quan. Ông Gal cho biết, kho dữ liệu mới bị rò rỉ gần như chắc chắn cũng đã được chào bán và bị sử dụng một thời gian trước khi chính thức được công khai.
Trong tuyên bố trước đó, Twitter cho biết họ đã khắc phục lỗ hổng khi biết về nó nhưng không cho biết quá trình này kéo dài bao lâu.
Cựu giám đốc bảo mật của Twitter - ông Peiter Zatko, đã cho rằng Twitter hoàn toàn bị động và không có nỗ lực phòng chống các hành vi tấn công mạng, Sau đó, ông đã đệ đơn khiếu nại chính thức lên Ủy ban Chứng khoán và Giao dịch và làm chứng về những thiếu sót của Twitter. Theo ông, mặc dù nền tảng có hàng trăm triệu người sử dụng nhưng lại "đi sau hơn một thập kỷ so với các tiêu chuẩn bảo mật của ngành".
Theo Washington Post