Ngày 12 tháng 1 năm 2023Ravie LakshmananBảo mật dữ liệu / Quyền riêng tư
Twitter hôm thứ Tư cho biết cuộc điều tra của họ không tìm thấy “bằng chứng” nào cho thấy dữ liệu của người dùng được bán trực tuyến có được bằng cách khai thác bất kỳ lỗ hổng bảo mật nào trong hệ thống của họ.
“Dựa trên thông tin và tình báo được phân tích để điều tra vấn đề, không có bằng chứng nào cho thấy dữ liệu được bán trực tuyến có được bằng cách khai thác lỗ hổng của hệ thống Twitter”, công ty cho biết trong một tuyên bố. “Dữ liệu có khả năng là một tập hợp dữ liệu đã có sẵn công khai trực tuyến thông qua các nguồn khác nhau.”
Tiết lộ này được đưa ra sau nhiều báo cáo rằng dữ liệu Twitter thuộc về hàng triệu người dùng – 5,4 triệu vào tháng 11 năm 2022, 400 triệu vào tháng 12 năm 2022 và 200 triệu vào tuần trước – đã được rao bán trên các diễn đàn tội phạm trực tuyến.
Gã khổng lồ truyền thông xã hội cho biết thêm vụ vi phạm “không thể tương quan với sự cố được báo cáo trước đó, cũng như với bất kỳ sự cố mới nào”, thêm vào đó không có mật khẩu nào bị lộ. Hai bộ dữ liệu được xuất bản vào tháng 12 và tháng 1 được cho là giống hệt nhau, với bộ dữ liệu thứ hai đã bị xóa các mục nhập trùng lặp.
Twitter, vào tháng 8 năm 2022, đã thừa nhận rằng một lần thay đổi mã vào tháng 6 năm 2021 đã gây ra lỗi API cho phép người dùng liên kết tài khoản Twitter với một địa chỉ email hoặc số điện thoại cụ thể. Lỗ hổng sau đó đã bị khai thác để lấy thông tin của 5,48 triệu hồ sơ người dùng.
Ryushi, kẻ đe dọa đã quảng cáo kết xuất dữ liệu trên diễn đàn hack Breached vào tháng 12 năm 2022, tuyên bố thông tin được biên soạn bằng cách sử dụng lỗ hổng hiện đã được sửa. Hiện tại vẫn chưa biết tập dữ liệu được lấy như thế nào và liệu nó có được tích lũy trước khi vá lỗ hổng vào tháng 1 năm 2022 hay không.
Ủy ban bảo vệ dữ liệu Ireland (DPC) đã thông báo vào tháng trước rằng họ đang điều tra vụ rò rỉ dữ liệu liên quan đến 5,4 triệu người dùng Twitter trên toàn thế giới vào tháng 11, theo Twitter, “giống như những vụ rò rỉ vào tháng 8 năm 2022.”
Công ty thuộc sở hữu của Elon Musk cũng cho biết họ đang liên hệ với các cơ quan bảo vệ dữ liệu có liên quan để làm rõ “các sự cố bị cáo buộc”, đồng thời cảnh báo người dùng kích hoạt xác thực hai yếu tố (2FA) và đề phòng các nỗ lực lừa đảo tiềm ẩn.
