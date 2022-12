Elon Musks overtakelse av Twitter har ikke akkurat gått smertefritt, og nå har det dukket opp enda en sak som potensielt kan gi Musk hodebry. En hacker påstår nemlig å sitte på store mengder personlige data fra Twitter-brukere, melder Bleeping Computer.

En hacker, eller hackergruppe, som kaller seg selv «Ryushi» på undergrunnsfora på internett hevder å ha skaffet seg private data tilhørende over 400 millioner Twitter-brukere.

Presser Elon Musk

Trusselaktøren har signalisert at han akter å bruke dataene som pressmiddel for å få den nybakte Twitter-eieren til å punge ut – med referanse til den mye omtalte personvernlovgivningen GDPR.

– Twitter eller Elon Musk; hvis dere leser dette risikerer dere allerede en GDPR-bot for lekkasjen av 5,4 millioner brukere; forestill dere boten for lekkasje av 400 millioner, skrev trusselaktøren på et undergrunnforum.

Lekkasjen av data fra 5,4 millioner brukere som aktøren refererer til, skjedde i fjor og ble muliggjort en av API-relatert sårbarhet som senere ble fikset. Det skal altså være den samme sårbarheten som ble utnyttet til å skrape personlige data fra 400 millioner brukere.

Hackeren opplyste overfor Bleeping Computer at han ønsker å selge dataene eksklusivt til én aktør for den nette sum av 200.000 dollar, litt i underkant av 2 millioner kroner. Etter salget lover trusselaktøren å slette dataene på sin side.

Trolig ekte

– Din beste mulighet for å unngå å betale 276 millioner dollar i GDPR-bøter slik som Facebook gjorde (på grunn av lekkasje av 533 millioner brukere), er å kjøpe disse dataene eksklusivt, skrev trusselaktøren på forumet.

Facebooks moderselskap Meta ble tidligere i år ilagt en heftig bot på 265 millioner euro, cirka 2,7 milliarder kroner, av irske myndigheter for brudd på GDPR-loven. Det skjedde etter at opplysninger om over en halv milliard brukere lekket ut på et hackernettsted.

Dataene som «Ryushi» har samlet inn omfatter blant annet telefonnumre og e-postadresser, som er private data, og ikke offentlige.

Bleeping Computer verifiserte selv legitimiteten til noen av de lekkede Twitter-profilene. I tillegg tvitret sikkerhetsselskapet Hudson Rock at dataene tilsynelatende er ekte vare, men samtidig opplyste selskapet at det ikke er praktisk mulig å verifisere at det faktisk finnes data fra 400 millioner brukere i den lekkede databasen.

Twitter skal ikke ha uttalt seg offisielt om saken i skrivende stund. DEt er også uvisst hvordan EU eventuelt vil forholde seg til lekkasjen og i hvilken grad GDPR-lovgivningen er anvendelig i denne sammenhengen.