Bei breached.vc bietet ein Nutzer namens Ryushi die Daten von 400+ Millionen Twitter-Nutzern zum exklusiven Kauf an. Das Angebot richtet sich direkt an Elon Musk und Twitter.
Der Nutzer schreibt unter anderem:
«I’m selling data of +400 million unique twitter users that was scraped via a vulnerability, this data is completely private And it includes emails and phone numbers of celebrities, politicians, companies, normal users, and a lot of OG and special usernames.»
Als Motivation für den Kauf durch Twitter nennt der Nutzer die Vermeidung einer (noch höheren) Busse gemäss europäischer Datenschutz-Grundverordnung (DSGVO):
«Twitter or Elon Musk if you are reading this you are already risking a GDPR fine over 5.4m breach imaging the fine of 400m users breach source Your best option to avoid paying $276 million USD in GDPR breach fines like facebook did (due to 533m users being scraped) is to buy this data exclusively […].»
Meta war für ein Datenleck bei Facebook, das 533 Millionen Nutzer betroffen hatte, in Irland mit einer Busse von 276 Millionen Dollar belegt worden.
Als Beispiel für die Echtheit der liefert der erwähnte Nutzer die Namen, E-Mail-Adressen und Telefonnummern von zahlreichen bekannten und verifizierten Twitter-Nutzern.
Die Gefahren, die solche Daten in den falschen Händen bedeuten, beschreibt der Nutzer gleich selbst:
«[…] data will not be sold to anyone else which will prevent a lot of celebrities and politicians from Phishing, Crypto scams, Sim swapping, Doxxing and other things that will make your users»
Die Daten stammen wurden anscheinend bis Anfang 2022 bei Twitter abgeschnorchelt:
«Twitter patched this in early 2022 so breach data is 2021 to 2022.»
Mutmasslich wurde eine Sicherheitslücke bei Twitter, die Anfang 2022 bekannt geworden war, ausgenützt:
«By using this vulnerability an attacker can find a twitter account by it’s phone number/email even if the user has prohibited this in the privacy options.»
Das resultierende Datenleck bei Twitter, über das im August 2022 berichtet worden war, betrifft demnach weder bloss «some accounts» oder allein die zuletzt genannten 5.4 Millionen Nutzer, sondern (fast) alle Nutzer.
In diesem Zusammenhang läuft inzwischen ein Verfahren bei der irischen Datenschutz-Aufsichtsbehörde:
«The Data Protection Commission (‹the DPC›) today launched an own-volition inquiry […] in relation to multiple international media reports, which highlighted that one or more collated datasets of Twitter user personal data had been made available on the internet. These datasets were reported to contain personal data relating to approximately 5.4 million Twitter users worldwide. The datasets were reported to map Twitter IDs to email addresses and/or telephone numbers of the associated data subjects. […].»
(Auch via Alon Gal bei LinkedIn.)
Bilder: Pixabay / Lolame, Pixabay-Lizenz; Pixabay / Couleur, Public Domain-ähnlich.