Tháng 1/2022, Twitter nhận được một báo cáo thông qua chương trình tiền thưởng lỗi cho biết, một lỗ hổng API cho phép hacker thu thập dữ liệu người dùng như địa chỉ email, số điện thoại và ID Twitter, liên kết đến tài khoản đã đăng ký. Vào thời điểm Twitter khắc phục sự cố thì đã quá muộn vì kẻ tấn công đã tận dụng lỗ hổng API thu thập hàng triệu địa chỉ email và số điện thoại.

Sự cố này đã làm rò rỉ đến 5,4 triệu hồ sơ người dùng bao gồm cả dữ liệu công khai và không công khai. Những dữ liệu thu thập được đó sau đó đã bị rao bán trên một diễn đàn tin tặc tháng 7.2022 với giá 30.000 USD, có 2 người được cho là đã mua gói dữ liệu này với giá chào bán ban đầu. Sau đó, tháng 9/2022 và tháng 11/2022, một kẻ tấn công đã phát hành một tệp JSON chứa toàn bộ 5,4 triệu bản ghi dữ liệu, đã bị rò rỉ vào năm 2021.

Tình huống trở lên tồi tệ hơn, một tội phạm mạng trong tuần này ra tuyên bố sẽ bán dữ liệu công khai và riêng tư của 400 triệu người dùng Twitter, được thu thập từ năm 2021, sử dụng lỗ hổng API hiện đã sửa. Lần này, kẻ tấn công yêu cầu 200,000 USD cho một lần bán độc quyền. Theo báo cáo của BleepingComputer, tội phạm mạng tuyên bố đã thu thập dữ liệu của hơn 400 triệu người dùng Twitter, sử dụng cùng một lỗ hổng từ năm 2021.

Hơn nữa, phần tử tội phạm mạng thậm chí còn cảnh báo Elon Musk và công ty Twitter rằng, doanh nghiệp nên mua dữ liệu trước khi sự rò rỉ dẫn đến một khoản tiền phạt lớn theo luật bảo mật GDPR của Châu Âu. “Twitter hoặc Elon Musk, nếu bạn đang đọc điều này thì bạn đang mạo hiểm với một khoản tiền phạt GDPR đối với 5,4 triệu dữ liệu bị rò rỉ trong số 400 triệu dữ liệu người dùng bị rò rỉ từ Twitter,” Ryushi, tội phạm mạng đã viết trong một bài đăng trên diễn đàn hack Breached.

Nói một cách đơn giản, kẻ thủ mưu đang trực tiếp tống tiền cả Elon Musk và Twitter, yêu cầu lựa chọn trả giá để sở hữu lại dữ liệu hoặc bị phạt bởi bộ luật nghiêm ngặt GDPR của Châu Âu, liên quan đến vi phạm. Ryushi viết “Lựa chọn tốt nhất để tránh phải trả 276 triệu USD tiền phạt vi phạm GDPR như Facebook đã làm (do rò rỉ dữ liệu 533 triệu người dùng) là mua độc quyền dữ liệu này.”

Kẻ tội phạm thậm chí còn xác nhận với BleepingComputer, nhóm tội phạm đã thu thập số điện thoại và địa chỉ email riêng tư thông qua lỗ hổng API mà Twitter đã khắc phục vào tháng 1/2022 và trước đó có liên quan đến vụ vi phạm dữ liệu của 5,4 triệu người dùng. Về cơ bản, lỗ hổng cho phép hacker thu thập một danh sách khổng lồ số điện thoại và địa chỉ email vào API Twitter, ID người dùng trên tài khoản Twitter.

Sau đó, kẻ đột nhập sử dụng ID này với một IP khác truy xuất dữ liệu hồ sơ công khai cho người dùng, tạo dựng hồ sơ người dùng Twitter bao gồm cả dữ liệu công khai và riêng tư. Mặc dù Twitter đã sửa lỗ hổng bảo mật vào tháng 1/2022, nhưng hiện nay có thể xác nhận, lỗ hổng bảo mật đã bị nhiều kẻ xâm nhập sử dụng để thu thập thông tin cá nhân người dùng Twitter.

Thời điểm tồi tệ của Twitter và tình trạng hỗn loạn thông tin

Vụ rò rỉ dữ liệu người dùng Twitter bùng phát vào thời điểm tồi tệ đối với công ty truyền thông mạng xã hội này do cơ quan giám sát quyền riêng tư của EU, Ủy ban Bảo vệ Dữ liệu Ailen (DPC) bắt đầu tiến hành cuộc điều tra về việc công khai 5,4 triệu hồ sơ người dùng gần đây, bị đánh cắp trên Twitter vào năm 2021, sử dụng lỗ hổng này.

Chính quyền Ireland cho biết sau khi thảo luận với Twitter về vấn đề này, DPC cho rằng “một hoặc nhiều điều khoản” trong Quy định bảo vệ dữ liệu chung của EU có thể đã và có thể đang tiếp tục  bị vi phạm. DPC là cơ quan giám sát chính một số công ty công nghệ lớn nhất của Thung lũng Silicon, thiết lập cơ sở ở EU tại quốc gia này. Theo GDPR, DPC có quyền áp đặt mức tiền phạt lên tới 4% doanh thu hàng năm của doanh nghiệp.

Kể từ khi Elon Musk tiếp quản Twitter, châu Âu đặc biệt nhanh chóng yêu cầu nền tảng truyền thông xã hội này tuân thủ các yêu cầu pháp lý của EU. Trên thực tế, EU đã sẵn sàng trừng phạt bất kỳ dấu hiệu nào cho thấy Twitter có thể vi phạm luật ngôn luận của châu Âu. Cảnh báo đầu tiên đến từ phó chủ tịch điều hành của Ủy ban châu Âu Margrethe Vestager, giám sát chính sách kỹ thuật số cho khối 27 quốc gia này.

 “Có một bộ quy tắc của châu Âu và các công ty phải tuân thủ,” bà nói trong cuộc phỏng vấn đầu tiên kể từ khi Elon Musk tiếp quản Twitter. “Nếu không, chúng tôi sẽ có hình phạt và mức tiền phạt. Chúng tôi có tất cả các đánh giá và những quyết định hình phạt sẽ rất ám ảnh.”

Khi được hỏi liệu các nhà quản lý châu Âu có đang theo dõi và giám sát kỹ lưỡng Twitter hay không, bà Vestager trả lời: “Tất nhiên là có. Chúng tôi có trách nhiệm thi hành luật này. Đây là những gì chúng tôi đã hứa. Cử tri, người tiêu dùng và người dùng đã có những lời hứa của chúng tôi.”

Khi Musk tweet rằng “con chim được trả tự do,” vào khoảng thời gian ông mua Twitter, Thierry Breton đã đáp trả: “Ở Châu Âu, con chim sẽ bay theo những quy tắc của EU chúng tôi.”

Breton là ủy viên châu Âu về thị trường nội bộ, đồng thời là nhà lãnh đạo thừa hành Đạo luật dịch vụ kỹ thuật số mới của EU. Đáp lại lời cảnh báo của Breton, Elon Musk đã viết rằng, ông “rất đồng quan điểm” với EU về những quy tắc trực tuyến mới, một trong số những điều đó là yêu cầu các nền tảng mạng xã hội lớn kiểm soát nội dung bất hợp pháp, đánh giá nguy cơ thiệt hại mà dịch vụ mạng xã hội gây ra, bao gồm cả những thông tin sai lệch.