Mais de 5,4 milhões de registros de usuários do Twitter contendo informações roubadas usando uma vulnerabilidade de API corrigida em janeiro foram compartilhados gratuitamente em um fórum de cibercriminosos.

Os dados consistem em informações públicas extraídas, bem como números de telefone privados e endereços de e-mail que não devem ser públicos. Em julho passado, um agente de ameaças começou a vender informações privadas de mais de 5,4 milhões de usuários do Twitter por US$ 30.000.

Embora a maioria dos dados consistisse em informações públicas, como IDs do Twitter, nomes, nomes de login, locais e status verificado, também incluía informações privadas, como números de telefone e endereços de e-mail.

Esses dados foram coletados em dezembro de 2021 usando uma vulnerabilidade da API do Twitter divulgada no programa de recompensas de bugs HackerOne, que permitia que as pessoas enviassem números de telefone e endereços de e-mail à API para recuperar o ID do Twitter associado.

Além dos 5,4 milhões de registros à venda, havia também 1,4 milhão de perfis do Twitter para usuários suspensos coletados por meio de uma API diferente, elevando o total para quase 7 milhões de perfis do Twitter contendo informações privadas.