200 ล้าน X บัญชีข้อมูลรั่วไหลในเหตุการณ์รั่วไหลข้อมูลครั้งใหญ่ — 2.8 พันล้าน Twitter ID ถูกเปิดเผย

เอลอน มัสก์ (Elon Musk) ของ X ซึ่งก่อนหน้านี้รู้จักกันในชื่อ Twitter กำลังเผชิญกับวิกฤติด้านความปลอดภัยทางไซเบอร์ที่น่ากังวลที่สุดครั้งหนึ่ง มีผู้เรียกร้องตัวเองว่าเป็นผู้ที่ชื่นชอบข้อมูลได้ปล่อยสิ่งที่เชื่อว่าเป็นการรวบรวมข้อมูลผู้ใช้มากกว่า 200 ล้านรายการ ซึ่งเชื่อมโยงกับ ID ผู้ใช้ Twitter ที่ไม่ซ้ำกัน 2.8 พันล้าน ID ซึ่งอาจเป็นการรั่วไหลที่ใหญ่ที่สุดในประวัติศาสตร์โซเชียลมีเดีย

เหตุการณ์นี้ย้อนกลับไปยังจุดอ่อนที่ถูกตีพิมพ์ครั้งแรกในช่วงต้นปี 2022 ผ่านโปรแกรมบั๊กบาวตี้ของ Twitter ข้อบกพร่องนี้อนุญาตให้ผู้ไม่หวังดีเรียกคืนข้อมูลผู้ใช้ส่วนตัว—รวมถึงที่อยู่อีเมลและหมายเลขโทรศัพท์—เพียงแค่ป้อนข้อมูลเหล่านั้นในระบบ ก่อนที่ปัญหาจะได้รับการแก้ไข ผู้โจมตีได้เริ่มรวบรวมและขายข้อมูลนี้ทางออนไลน์แล้ว

Twitter ได้ยอมรับการละเมิดในเดือนกรกฎาคม 2022 โดยระบุว่า:

“หลังจากตรวจสอบตัวอย่างข้อมูลที่มีจำหน่าย เรายืนยันว่าผู้ไม่หวังดีได้ใช้ประโยชน์จากปัญหานี้ก่อนที่จะมีการแก้ไข”

ตอนนี้ในปี 2025 ข้อมูลชุดเดียวกันนี้ได้มีรายงานว่าได้ปรากฏขึ้นใหม่—ได้รับการปรับปรุงและขยายด้วยข้อมูลใหม่กว่า—และถูกปล่อยออกมาเต็มรูปแบบโดยผู้ใช้ที่ใช้ชื่อว่า ThinkingOne.

จากการโพสต์ในฟอรัมการละเมิดที่มีชื่อเสียง ThinkingOne ได้ปล่อยไฟล์ CSV ขนาด 34 GB ที่มี 201,186,753 รายการ แต่ละรายการมีข้อมูลสาธารณะและข้อมูลส่วนตัว รวมถึง: ชื่อหน้าจอ X และ ID ผู้ใช้, ชื่อเต็มและรายละเอียดโปรไฟล์, ที่ตั้ง, ที่อยู่อีเมล, จำนวนผู้ติดตามและอื่น ๆ

กลุ่มความปลอดภัยทางไซเบอร์ Safety Detectives ยืนยันว่าข้อมูลส่วนใหญ่ดูเหมือนจะเป็นจริง การวิเคราะห์ของพวกเขาพบว่ามีรูปแบบที่สอดคล้องกันและรายการที่ตรงกันเมื่อเปรียบเทียบกับข้อมูลผู้ใช้ที่รู้จัก

ในการแลกเปลี่ยนอีเมลกับนักเขียนเกี่ยวกับความปลอดภัยไซเบอร์ของ Forbes เดวี่ ไวน์เดอร์ (Davey Winder) ผู้เผยแพร่ข้อมูลได้ชี้แจงว่าพวกเขาไม่ได้ระบุว่าเป็นแฮ็กเกอร์ แต่เป็น “ผู้ชื่นชอบข้อมูล” ที่ทำงานภายในกรอบกฎหมาย

“ฉันไม่ถือว่าตัวเองเป็นแฮ็กเกอร์” ThinkingOne กล่าว “ฉันแค่แชร์สิ่งที่มีอยู่แล้ว—ได้ถูกจัดทำและทำความสะอาดแล้ว เป้าหมายของฉันไม่ใช่การทำร้าย แต่คือการสร้างการรับรู้”

พวกเขายังทิ้งระเบิดข้อมูลอีกด้วย:

“เรื่องจริงที่นี่คือ ID Twitter จำนวน 2.8 พันล้านรายการถูกขโมยไป นั่นเกินกว่าจำนวนผู้ใช้ที่ใช้งานอยู่ได้อย่างมาก ใครจะนับ ID Twitter ทุกอันได้ถ้าพวกเขาไม่มีการเข้าถึงภายใน?”

นี่ทำให้เกิดคำถามที่สำคัญว่าจะมีการละเมิดครั้งแรกใหญ่กว่าที่รายงานไว้อย่างไรหรือจะมีการรวมการรั่วไหลข้อมูลหลายรายการเข้าด้วยกัน

ตามที่ ThinkingOne กล่าว มีการพยายามหลายครั้งในการแจ้งเตือน X ก่อนที่จะปล่อยชุดข้อมูล แต่พวกเขากล่าวว่าไม่ได้รับการตอบสนอง จนถึงการเขียนนี้ X ยังไม่ได้ออกแถลงการณ์อย่างเป็นทางการเกี่ยวกับการรั่วไหลหรือผลกระทบต่อผู้ใช้ที่ได้รับผลกระทบ

ในเหตุการณ์ด้านความปลอดภัยก่อนหน้านี้ การนำของมัสก์มักมุ่งไปที่การควบคุมความเสียหายผ่านโพสต์ของ X หรือความคิดเห็นสั้น ๆ กับสื่อ อย่างไรก็ตาม ไม่มีคำแถลงในลักษณะนี้เผยแพร่ในกรณีนี้

การละเมิดข้อมูลนี้เกิดขึ้นหลังจากเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยหลายครั้งสำหรับแพลตฟอร์มนี้:

เหตุการณ์เหล่านี้ได้สร้างความกังวลเกี่ยวกับการที่ทีมเทคนิคของแพลตฟอร์มมีทรัพยากรและโครงสร้างเพียงพอในการจัดการกับภัยคุกคามขนาดใหญ่หรือไม่

แม้ว่า X จะยังไม่ได้ยืนยันการรั่วไหล แต่ผู้ใช้ถูกแนะนำให้ใช้มาตรการป้องกันทันทีรวมถึง:

เนื่องจากลักษณะของการละเมิด ผู้ใช้ที่ได้รับผลกระทบอาจเสี่ยงต่อสแปม, การปลอมแปลงตัวตน หรือการโจมตีที่อิงตามข้อมูลประจำตัวที่ร้ายแรงมากขึ้น

นี่อาจเป็นหนึ่งในการรั่วไหลข้อมูลทางโซเชียลมีเดียที่สำคัญที่สุดเท่าที่เคยมีมา ทั้งในแง่ของขนาดและความหมาย ด้วยผู้ใช้มากกว่า 200 ล้านคนที่ได้รับผลกระทบและ 2.8 พันล้าน ID ที่ถูกเปิดเผย การละเมิดสะท้อนให้เห็นถึงช่องโหว่ในระยะยาวที่อาจยังไม่ได้รับการแก้ไขอย่างเต็มที่แม้หลังจากที่มีการค้นพบข้อผิดพลาดเบื้องต้นมาหลายปี

ขณะนี้ลูกบอลอยู่ในสนามของ X เพื่อที่จะตอบสนองและสร้างความมั่นใจให้กับฐานผู้ใช้ที่รู้สึกกังวลอย่างมาก

นี่คือเรื่องราวที่กำลังพัฒนาและจะมีการอัปเดตเมื่อมีข้อมูลเพิ่มเติม