Ugyan megoldandó problémákból hegyet is lehetne építeni mostanában a Twitternél, a céget idén ősszel megvásárló Elon Musknak egy újabb súlyos gondja adódott még az év vége előtt azzal, hogy a hírek szerint valakinek sikerült 400 millió felhasználó személyes információihoz jutni a közösségi hálózat rendszeréből.

A magát Ryushi néven azonosító állítólagos elkövető mindezt egy ismert hekkerfórumon, a Breached felületén tette közzé. A hekker szerint a brutális mennyiségű adathoz egy azóta már javított API-sérülékenység kihasználásával sikerült hozzájutnia. Ryushi 200 ezer dollárt szeretne kapni a csomagért, amelyet a tervek szerint egyetlen vevőnek értékesítene.

Akciós ajánlat

Ez a vevő akár maga a Twitter, vagy közvetlenül a tulajdonosa, Elon Musk is lehetne, mivel a cég így nagyon sokat tudna spórolni. A megtakatarítás a hekker posztja alapján abból származna, hogy a vállalat ezzel elkerülhetné az európai adatvédelmi rendelkezések (GDPR) megsértése miatt kiaszabandó, tetemes összegű bírságot. Ryushi érvelése alátámasztására a Facebookon történt hasonló incidenst hozza fel. A közösségi hálózatot üzemeltető Metát néhány hete büntették 265 millió euróra, amiért 533 millió felhasználójának személyes adata került korábban illetéktelen kezekbe.
 

Az állítólagos elkövető posztja a Breached fórumán (forrás: BleepingComputer)

Tettei igazolására a hekker egy kisebb mintát is csatolt a posztjához, amelyen számos amerikai politikus, híresség és közéleti szereplő neve mellett a fiókjukhoz rendelt telefonszám és e-mail-cím is szerepel. Az esetről beszámoló BleepingComputer ezek közül csak néhány eredetiségét tudta igazolni, ám az elkövető később egy nagyobb, 1000 fiók adatát tartalmazó csomagot is nyilvánosságra hozott. Utóbbi valódiságát a Hudson Rock biztonsági cég munkatársa megerősítette a lapnak. (Ez persze önmagában még nem jelenti azt, hogy tényleg 400 millió fiók lenne érintett az adatlopásban.)

Minden rakott szekérre fér még egy lapáttal?

Az ügy természetesen rendkívül kínos a Twitter számára, ahol az utóbbi időben csak a problémák szaporodnak. Ami szorosan a kiberbiztonság témáját illeti, augusztusban nagy visszhangot váltott ki a cég egykori biztonsági vezetőjének kitálalása. Peiter Zatko terjedelmes feljegyzése szerint a cég tudatosan félrevezette a hatóságokat és a felhasználói bázis növelését hajszolva hanyagolta a biztonsági szempontokat.

Ezt látszik igazolni az, hogy a Twitter hálózatát nagy rendszerességgel szokták feltörni. Elég csak azt a 2020-as esetet említeni, amikor híres emberek hozzáférését megszerezve sikerült kicsalni pénzt hiszékeny emberekből. Mint nem sokkal később kiderült, a hatalmas port kavart kiberbetörést néhány tizenéves hajtotta végre. A mostani eset közvetlen előzménye pedig egy olyan akció volt, amelynek során 5,4 millió felhasználói fiók adata szivárgott ki. Utóbbit egyébként már vizsgálja is az illetékes ír adatvédelmi hatóság.