Die Daten von 400 Millionen Twitter-Nutzern , darunter private E-Mails und für Telefonnummern sollen auf dem Schwarzmarkt zum Verkauf angeboten werden.

Das Cyberkriminalitätsunternehmen Hudson Rock sprach am 24. Dezember auf Twitter von einer "glaubwürdigen Bedrohung". Dem Tweet zufolge soll eine private Datenbank mit Informationen über 400 Millionen Twitter-Nutzer verkauft werden. 

"Die private Datenbank enthält viele Informationen, darunter E-Mail-Adressen und Telefonnummern von hochkarätigen Nutzern, wie etwa dem AOC, Kevin O'Leary, Vitalik Buterin und mehr", so Hudson Rock.

"Im Post behauptet der Verkäufer, die Daten seien Anfang 2022 durch eine Schwachstelle bei Twitter gesammelt worden und damit soll auch Elon Musk erpresst werden, die Daten aufzukaufen oder wegen Verstöße gegen die DSGVO verklagt zu werden."

Hudson Rock erklärte, das Unternehmen habe die Behauptungen des Hacker in Bezug auf die Anzahl der Konten zwar nicht bestätigen können, doch eine" unabhängige Verifizierung der Daten selbst scheint sich damit zu decken".

Die Web3-Sicherheitsfirma DeFiYield hat ebenfalls 1.000 Konten betrachtet, die vom Hacker als Beispiel gegeben wurden, und bestätigte, dass die Daten "Real" seien. Das Unternehmen hat sich auch mit dem Hacker über Telegram in Verbindung gesetzt und erklärte, dieser warte aktiv auf einen Käufer.

Sollte sich das bewahrheiten, könnte dieser gestohlene Datensatz für Krypto-Twitter-Nutzer durchaus ein großer Anlass zur Sorge sein, besonders für diejenigen, die unter einem Pseudonym aktiv sind.

Einige Nutzer haben jedoch hervorgehoben, es sei schwer zu glauben, dass die Anzahl der Daten so ist, wie behauptet. Schließlich gebe es derzeit etwa 450 Millionen aktive Nutzer jeden Monat.

Bei Redaktionsschluss ist das Angebot des Hackers auf Breached immer noch aufrufbar. Der Twitter-Besitzer Elon Musk wird dazu aufgerufen, 276 Millionen US-Dollar zu bezahlen, um den Verkauf dieser Daten zu verhindern. Ihm würden Strafen wegen Verstößen gegen die DSGVO drohen.

Wenn Musk die Gebühr bezahlt, würde der Hacker nach eigener Aussage die Daten löschen und an niemanden weiterverkaufen. Ansonsten drohe vielen Prominenten und Politikern "Phishing, Krypto-Betrug, Sim Swapping, Doxxing und andere Dinge".

Angebot des Hackers: Breached

Die gestohlenen Daten sollen aus dem sogenannten "Zero-Day-Hack" auf Twitter stammen, bei dem eine API-Schwachstelle vom Juni 2021 ausgenutzt wurde. Diese wurde im Januar diesen Jahres mit einem Patch geschlossen. Über diese Schwachstelle konnten Hacker private Informationen abgreifen, die diese dann in Datenbanken zusammenfügten und im Darknet verkauften.

Zuvor wurden zwei weitere Datenbanken angeboten, wobei eine aus 5,5 Millionen Nutzerdaten und die andere aus 17 Millionen Nutzerdaten bestanden, wie aus einem Bericht vom 27. November von Bleeping Computer hervorgeht.

Das durchsickern von solchen Informationen könnte gezielte Phishing-Angriffe über SMS und E-Mail, Sim Swap-Angriffe und Doxxing zur Folge haben. Doxxing bedeutet, dass die wahre Identität hinter einem Pseudonym aufgedeckt wird.

Den Leuten werden Vorsichtsmaßnahmen nahegelegt, wie etwa 2-Faktor-Authentifizierung über eine App anstatt mit der Telefonnummer. Sie sollten auch ihre Passwörter ändern und diese sicher aufbewahren sowie eine private, selbst verwahrte Krypto-Wallet verwenden.