해커가 이용하는 포럼에서 트위터에서 유출된 540만 명분 개인 정보가 반복 거래되고 있는 것으로 나타났다. 보도에 따르면 이 데이터는 버그 보상금 프로그램에 의해 보고되어 2022년 1월 수정된 취약성을 악용해 도난당한 게 확인됐다.
트위터 대량 데이터가 유출된 문제가 처음 보고된 건 해킹 포럼에서 540만 명 이상 트위터 사용자 개인 정보를 3만 달러에 판다는 2022년 7월 글이었다. 한 위협 액터(devil)가 공유한 데이터 대부분은 트위터 아이디와 이름, 로그인명, 소재지, 인증 완료 상태 등 공개 정보로 이뤄져 있었지만 전화번호나 이메일 주소 등 비공개 정보도 포함됐다.
보도에 따르면 이 데이터는 버그 보상금 플랫폼 해커원(HackerOne)에서 보고된 취약성을 이용해 2021년 12월 수집된 것이다. 이 취약점을 악용하면 공격자는 트위터 계정에 대한 공개 정보를 스크래핑해 공개, 비공개 데이터를 모두 포함하는 사용자 기록을 만들 수 있다.
해커원 정보 공개가 유출됐는지 여부는 불분명하지만 복수 공격자가 이 문제를 이용해 트위터로부터 개인 정보를 빼내 정보를 얻었다고 한다. 해킹 포럼 관리자(Pompompurin)는 앞서 언급한 인물과 다른 위협 액터가 이 취약성을 전파한 뒤 스스로 해당 취약성을 악용해 개인 정보 데이터베이스를 만들었다고 인정했다. 이 데이터베이스에는 판매된 사용자 레코드 540만 건 외에 다른 API로 수집한 정지된 계정 프로필도 140만 건 추가, 모두 데이터 700만 건이 쌓여 있다. 이 데이터베이스는 판매하지 않고 일부 개인간 공유한 것이라고 한다.
지난 7월 사용자 데이터 540만 건이 판매된 뒤 해킹 포럼에선 9월과 11월 24일에도 동일 데이터를 무료로 공유했다. 이 데이터는 이전에 판매된 것과 같으며 구체적으로 548만 5,635명 트위터 사용자 기록을 포함하고 있다고 한다.
이후 조사에서 기존과는 다른 사용자 데이터 샘플 파일도 입수했으며 그 중에는 프랑스 사용자 전화번호 137만 7,132건도 포함되어 있었다고 한다. 해킹 포럼에서 공유한 것과 다른 게 있는 등 트위터 취약성을 악용해 데이터를 훔치는 게 얼마나 널리 이뤄지고 있는지 알 수 있다는 설명이다.
도난당한 데이터는 로그인 정보를 얻기 위한 표적형 피싱 공격에 이용될 수 있는 만큼 트위터 운영을 자칭하는 메일은 모두 확인할 필요가 있다. 계정이 정지됐거나 로그인에 문제가 있거나 인증 상태가 손실되려 한다고 주장하는 메일을 받고 트위터 외 도메인에 로그인하라는 메시지가 표시된다면 피싱 가능성이 높으니 메일을 무시하고 삭제하라는 설명이다. 관련 내용은 이곳에서 확인할 수 있다.