Oltre 400 milioni di account Twitter sono stati violati e saranno messi in vendita sul deep web salvo la compagnia di Elon Musk paghi un cospicuo riscatto.
L’hacker, che ha pubblicato una lista esemplificativa di quando depredato, ha dimostrato di possedere informazioni riservate quali indirizzi e-mail e numeri di telefono di personaggi famosi, funzionari governativi, aziende e un’infinità di utenti ordinati.
Un’agenzia israeliana di cyber intelligence chiamata Hudson Rock avrebbe scoperto per prima il post dell’hacker che dichiara di aver sfruttato una vulnerabilità dell’API del social media e desidera esser pagato, a titolo di riscatto, dalla compagnia Elon Mask che – stando alle pretese – potrà così evitare un maxi multa GDPR e nemmeno vedere le informazioni private degli utenti gettate in pasto al miglior offerente del deep web. Lo hacker/venditore, noto come nome Ryushi nei forum di data leak, ha affermato che se Twitter pagherà – tramite un mediatore – la cifra di 200.000 USD “I dati non saranno venduti a nessun altro, il che impedirà a molte celebrità e politici di finir vittime di phishing, truffe di criptovalute, scambio di Sim, doxxing e altre cose che faranno perdere ai vostri utenti la fiducia in voi come azienda (…)”.
Il post ricattatorio è arrivato un giorno dopo che la Commissione irlandese per la protezione dei dati (DPC) ha dichiarato di voler indagare su una precedente fuga di dati di Twitter che nel luglio 2022 ha interessato oltre 5,4 milioni di utenti a causa, apparentemente, della stessa vulnerabilità sfruttata ora da Ryushi e che era stata segnalata alla compagnia già nel gennaio precedente. LA DPC ha dichiarato di aver “corrisposto con Twitter International Unlimited Company (‘TIC’)” in relazione alla violazione dei dati e di aver “sollevato domande in relazione alla conformità al GDPR“. Dopo aver esaminato le informazioni fornite da TIC in risposta alle sue richieste, la DPC ha dichiarato di essere del parere che una o più disposizioni del GDPR siano state violate in relazione ai dati personali degli utenti di Twitter. C’è dunque da attendersi una sanzione GDPR per la violazione del luglio 2022 e, probabilmente, nei prossimi tempi una sanzione ancor più pesante per questo nuovo data breach natalizio.