بزرگترین هک تاریخ توییتر؛ اطلاعات ۴۰۰ میلیون کاربر فاش شد

در اتفاقی که می‌توان از آن به عنوان یکی از بزرگترین هک‌های تاریخ توییتر یاد کرد، اطلاعات ۴۰۰ میلیون کاربر این شبکه‌ی اجتماعی فاش شد؛ این افشاگری یک روز پس از آن صورت گرفت که کمیسیون حفاظت از داده‌ها (DPC) اعلام کرده بود تحقیقاتی را درباره‌ی هک قبلی توییتر در اواخر نوامبر و تحت‌تاثیر قرار گرفتن بیش از ۵٫۴ میلیون آغاز خواهد کرد.

آلون گال، یکی از بنیان‌گذاران شرکت امنیت سایبری هادسون راک، فاش شدن اطلاعات ۴۰۰ میلیون کاربر و قرار دادن آن‌ها در دارک وب برای فروش را ناشی از آسیب‌پذیری یک API اعلام کرد. در واقع هکرها با استفاده از این آسیب‌پذیری موفق شدند به اطلاعات مهمی مانند آدرس ایمیل و شماره‌ی تلفن کاربران این پلتفرم دست پیدا کنند. او در ادامه اضافه کرد:

هکرها نمونه‌ای از اطلاعات هزار حساب کاربری معروف، مانند دونالد ترامپ جونیور (فرزند ارشد دونالد ترامپ)، ویتالیک بوترین، برایان کربس و الکسندریا اوکاسیو کورتز (نماینده‌ی مجلس آمریکا) را منتشر کردند.

آلون گال به صورت اتفاقی و در مسیر تحقیقات خود در دارک وب با این اطلاعات رو به‌رو و از وجود آن‌ها مطلع شده است و تأیید کرد که این اطلاعات برای فروش قرار داده شده‌اند. او با برخی از این افرادِ معروف که اطلاعاتشان فاش شده مانند برایان کربس تماس گرفت و گفت:

من به طور خاص با برایان کربس صحبت کردم و او از این موضوع آگاه است.

البته خودِ هکرها درباره‌ی انتشار این اطلاعات در دارک وب اعلام کردند که داده‌ها اوایل سال ۲۰۲۲ و در جریان حمله‌ای سایبری از توییتر استخراج شدند. آن‌ها به ایلان ماسک، به عنوان مالک جدید توییتر پیشنهاد دادند تا با خرید این اطلاعات از تشکیل پرونده‌های قضایی بیشتری علیه توییتر در اروپا جلوگیری کند؛ توییتر در آن زمان به دلیل مشابه و فاش شدن اطلاعات کاربران خود با مشکلات حقوقی درگیر بود.

آلون گال شخصی بود که لو رفتن برخی اطلاعات متا را در سال ۲۰۲۱ کشف کرده بود. او در مقاله‌ی خود نوشت:

هک اخیر توییتر شباهت زیادی به فاش شدن اطلاعات ۵۳۳ میلیون حساب کاربری فیسبوک در سال ۲۰۲۱ دارد که جریمه‌ای ۲۷۵ میلیون دلاری برای متا به همراه داشت.

طبق گفته‌های هکر‌ها هر دولتی می‌تواند با خرید این داده‌ها، از شهروندان خود جاسوسی کند؛ کافی است تنها ایمیلی برای آن‌ها ارسال کرده که در متن ایمیل، تصویری با فرمت GIF باشد و با کلیک کاربر روی آن، آدرس IP و در نتیجه موقعیت مکانی آن کاربر را دریافت کند. یا اینکه از شماره‌ تلفن‌های لو رفته برای مقاصد تبلیغاتی استفاده کنند.