트위터에서 4억 명 이상 사용자의 개인정보를 훔쳤다는 주장이 나와 논란이 일고 있다. 개인정보가 포함된 데이터를 훔쳤다고 주장한 공격자는 현재 데이터를 판매하겠다며 트위터를 협박하고 있는 상황이다.
공격자는 데이터가 보안 취약점으로 인해 유출됐으며, 데이터 샘플에는 도널드 트럼프 등 유명인의 개인정보가 포함된 계정 1000개가 포함됐다고 주장했다. 공격자가 공개한 데이터 샘플에는 유명인, 정치인, 기업, 일반 사용자의 이메일과 전화번호, OG, 특수 사용자 이름 등이 포함됐다.
공격자는 “트위터는 4억 명에 달하는 개인정보 유출로 인해 GDPR 벌금 위험에 처하게 됐다. 페이스북처럼 벌금으로 2억 7600만 달러를 내고 싶지 않다면 데이터를 따로 구매하는 것이 좋을 것이다”라고 협박했다.
또한 공격자는 Breached Forum의 관리자가 제공하는 에스크로 서비스가 판매에 적용된다고 발표했다.
한편, 아일랜드의 데이터 보호 위원회는 약 540만 명에게 피해를 끼친 이번 사건에 대한 조사를 시작했다.
사건을 조사를 맡은 보안 기업 허드슨 록의 공동 설립자 Alon Gal는 “공격자는 트위터 프로필을 검색할 수 있게 하는 API의 보안 취약점을 통해 데이터를 얻어냈을 가능성이 높다. 이는 지난 2021년 있었던 페이스북의 데이터베이스 유출 정황과 비슷하다. 당시 메타에서는 5억 3300만 명의 개인정보가 유출돼 총 2억 7500만 달러의 벌금이 부과됐다”라고 설명했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
