駭客宣稱取得4億筆推特用戶資料，並高調出售

本周資安網站BleepingComputer報導，有人在駭客論壇聲稱，已利用推特今年被揭露的一項API漏洞，取得4億筆推特（Twitter）用戶個資，並要求推特公司買回以免遭歐盟處罰。

報導指出，名為Ryushi的人士在Breached駭客論壇貼出公告，聲稱手中握有4億筆推特資料，包括電子郵件、姓名、電話號碼等，開價20萬美元公開出售。這名駭客並直接向推特及執行長馬斯克（Elon Musk）放話指出，先前的 540萬筆資料外洩已引來歐盟調查，可以想見4億筆個資的後果。為了免於如同臉書5.33億筆被資料抓取（web scraping）的鉅額罰款命運，他們最好的選擇是獨家買下這批資料。

這名駭客還列出了30多位名人、政治人物、知名公司如美國前總統川普、加拿大企業家Kevin O’Leary、電視名人Piers Morgan及創投家Mark Cuba的資料，包括電話、電子郵件、粉絲數、帳號建立日期等。BleepingComputer報導，這名駭客之後也公佈了約1,000名推特用戶的個人檔案。

本案是推特資料外洩案的最新進展。今年7月先是有研究人員發現一名人士在地下網站兜售540萬筆推特用戶個資，11月另一名研究人員發現1,700萬筆用戶資料，懷疑事情不單純，可能外洩幅度比之前所知更大，或是有另一次外洩。但推特本月聲稱兩次的發現，資料其實來自同一批，並沒有另一次外洩。

駭客向Bleeping Computer證實，他們是在去年利用推特平臺漏洞，蒐集到推特用戶電話、電子郵件。

這項漏洞出在Twitter API上，允許某人餵大量電話號碼及電子郵件到API後接獲用戶ID。攻擊者之後即可利用ID和IP位址從推特網站取得公開資料，並建立該用戶的個人資料。Ryushi說他是從去年外洩540萬筆個資的駭客獲得對推特流程的了解，用的也是相同手法。然後將取得的用戶ID以另一個API抓出用戶名稱和其他資料。這漏洞類似去年臉書遭人從網頁抓取公開資料，導致5.33億筆用戶個資外流。

該漏洞今年8月才因資料外洩案曝光，當時推特說漏洞已在今年1月修補。最新事件顯示，在修補之前，已有多組人馬相繼濫用了Twitter API漏洞。

本案可能使推特面臨更大的行政壓力。臉書才因去年5.33億的資料抓取外洩遭到歐盟及愛爾蘭當局的調查。推特目前暫未對此回應。