Të dhënat që supozohet se përmbajnë adresat e emailit të më shumë se 200 milionë përdoruesve të Twitter janë dhënë falas në një forum hakerash, thonë raportet.
Informacioni i vjedhur përfshin adresat e emailit të përdorura për të krijuar llogari, gjë që do të shqetësojë përdoruesit anonimë që janë regjistruar me një adresë të ndjeshme.
BBC nuk i ka verifikuar të dhënat dhe shkeljet shpesh rezultojnë të përmbajnë informacione të kopjuara, të vjetra ose të rreme.
Twitter nuk i është përgjigjur kërkesave për koment në lidhje me shkeljen.
Alon Gal i firmës së informacionit për krimin kibernetik Hudson Rock, e cila zbuloi rrjedhjen, tha se ajo përmbante më shumë se 200 milionë adresa emaili dhe ishte “i rëndësishme”.
Z. Gal i tha BBC-së se “për fat të keq do të çonte në hakimin e shumë llogarive, shënjestrimin e phishing dhe doxxed”.
Doxxing është akti i publikimit të informacionit personal për dikë që mund të çojë në identifikimin e tyre.
BBC nuk e ka shkarkuar materialin, i cili duhet të zhbllokohet duke përdorur kreditet e forumit me vlerë 20p.
Disa përdorues të formularëve kanë shprehur interesimin e tyre për të dhënat, me një që thotë: “Faleminderit për shërbimin tuaj nuk mund të presë për kaosin”.
Faqja e lajmeve teknologjike Bleeping Computer ka shkarkuar të dhënat dhe ka konfirmuar se adresat e emailit ishin të sakta për shumë nga profilet e listuara në Twitter. Ai gjithashtu gjeti që të dhënat përmbajnë dublikatë.
Ai raportoi: “Të dhënat e plota nuk është konfirmuar padyshim. Të dhënat nuk janë të plota, pasi kishte shumë përdorues që nuk u gjetën në rrjedhje.”
Një studiues tjetër sugjeroi që shumë llogari në Twitter të shfaqen shumë herë, por numri i adresave unike të emailit të përfshirë është ende më shumë se 100 milionë.
Lajmi vjen pas një paralajmërimi nga Hudson Rock javën e kaluar në lidhje me pretendimet e paverifikuara nga një haker për të pasur email dhe numra telefoni të lidhur me 400 milionë llogari në Twitter.
Hakeri, Ryushi, kërkoi 200,000 dollarë (168,000 £) nga Twitter për të dorëzuar të dhënat dhe për t’i fshirë ato.
Megjithatë, të dhënat e ofruara aktualisht në internet falas u postuan nga një individ tjetër, janë më të vogla në madhësi dhe z. Gal tha se nuk përfshinin numrat e telefonit.
Si gjithmonë me hakimet gjigante të bazës së të dhënave, është jashtëzakonisht e vështirë të verifikohet nëse detajet e vjedhura janë të ligjshme.
Indikacionet e hershme janë se të paktën disa nga të dhënat e mostrës që ofron krimineli janë reale dhe tre përdorues të Twitter më kanë konfirmuar se adresat e tyre të postës elektronike të zbuluara janë reale.
Kjo është pa dyshim shumë shqetësuese për ta dhe për të tjerët në listë, të cilat tani mund të jenë potencialisht në ndërthurjen e hakerëve dhe oportunistëve.
Por evolucioni i hakimit mund të jetë gjithashtu i rëndësishëm.
Së pari ne kishim pretendime për një shkelje masive dhe përpjekje për të zhvatur mijëra dollarë nga Twitter.
Tani një grumbull të dhënash po jepet për një 20p.
Të dhënat e rrjedhura mund të rezultojnë të jenë një bashkim i pavlefshëm i shkeljeve të mëparshme dhe detajeve të rreme.
Twitter do ta dinte me siguri, por deri më tani kompania (e cila ka shpërndarë ekipet e saj të komunikimit mediatik që nga marrja e Elon Musk) ka refuzuar as ta pranojë situatën.
Të dhënat e mëparshme të këtij lloji janë nënvlerësuar në mënyrë rutinore dhe me shpejtësi nga firmat e mediave sociale, të cilat prej vitesh i kanë konsideruar ato si çështje jo serioze të sigurisë.
Por argumenti duket se është ai që firmat e teknologjisë po humbasin, siç tregon gjoba e fundit prej 230 milion £ e Facebook për një incident gërvishtjeje të vitit 2021.
Pas raporteve të pretendimit të Ryushi, Komisioni i Irlandës për Mbrojtjen e të Dhënave (DPC) tha se do të “shqyrtojë pajtueshmërinë e Twitter me ligjin për mbrojtjen e të dhënave në lidhje me çështjen e sigurisë”.
DPC tashmë po heton një shkelje të të dhënave në nëntor, në të cilën emailet dhe numrat e telefonit të lidhur me më shumë se pesë milionë llogari u zbuluan në internet.
Ekspertët e sigurisë besojnë se të dhënat e zbuluara rishtazi mund të jenë aksesuar në një të ashtuquajtur sulm scraping të mundësuar nga një defekt në një sistem Twitter.
Kjo përfshinte mashtrimin e një pjese të softuerit të lidhur me Twitter të quajtur një API (ndërfaqe e programimit të aplikacionit) për të zbuluar detaje të fshehura rreth llogarive.