Nelle scorse ore, un hacker di nome Ryushi ha annunciato di aver messo le mani sui dati di 400 milioni di utenti di Twitter e ha chiesto, nel forum hacker Breached, una riscatto a Twitter, o al neo proprietario Musk, per la vendita esclusiva di tali dati, in modo da evitare nuove attenzioni da parte dell’autorità europea per la privacy.
Lo scorso venerdì, la Commissione irlandese per la Protezione dei dati ha reso noto di aver avviato una procedura su Twitter per una violazione di dati che, scoperta solo lo scorso Agosto, avrebbe coinvolto 5,4 milioni di utenti con annesso rischio di una multa per la violazione del GDPR. In aggiunta a tale problema, l’hacker Ryushi si è rivolto direttamente a Twitter o Musk spiegando che, con gli opportuni rapporti, la divulgazione dei dati di 400 milioni di utenti potrebbe portare a una multa di circa 276 milioni di dollari, all’insegna di una sanzione che ricorderebbe quanto accaduto a Meta per la divulgazione dei dati di 533 milioni di utenti Facebook raccolti via scraping.
I dati raccolti dall’hacker, in base a una vulnerabilità delle interfacce API di programmazione del social secondo l’esperto di intelligence della Hudson Rock, Alon Gal, comprendono informazioni, di utenti presenti e passati, di persone comuni e celebrità, sostanziati in nomi, nomi utente, data di creazione dell’account, numero di telefono associato, email e numero dei follower. Ancora secondo Gal, l’archivio di 400 milioni di utenti di cui sopra non sarebbe quello da 5,4 milioni di Agosto, come sostenuto da Twitter in un contest, in base all’analisi dei campioni del vecchio data breach con quelli del nuovo.
In seguito, poi, a riprova della bontà di tali dati il criminale informatico Ryushi ha prima condiviso i dati di figure pubbliche come Donald Trump JR, Ocasio-Cortez, Kevin O’Leary e poi un pacchetto prova di 1.000 account.
Nel post pubblicato, l’hacker Ryushi propone a Twitter di comprare in esclusiva i dati rubati, promettendo di distruggerli e non divulgarli: diversamente provvederà a venderli a lotti, per 60.000 dollari ciascuno, con la garanzia del servizio escrow: chi compra ottiene il bene solo dopo aver effettuato il pagamento, che diventa effettivo solo quando il bene venduto è conforme a quanto dichiarato dal soggetto venditore.