200 Milyong X Accounts Na-leak sa Malawakang Data Breach — 2.8 Bilyong Twitter IDs na Nailantad

Ang X ni Elon Musk, na dating kilala bilang Twitter, ay nahaharap sa isa sa mga pinaka-nakababahalang krisis sa cybersecurity nito. Isang self-proclaimed na mahilig sa datos ang naglabas ng tila koleksyon ng higit sa 200 milyong tala ng gumagamit, na konektado sa 2.8 bilyong natatanging ID ng gumagamit ng Twitter, sa kung ano ang maaaring maging pinakamalaking pag-leak ng ganitong uri sa kasaysayan ng social media.

Ang insidente ay nag-ugat sa isang kahinaan na unang iniulat noong maagang bahagi ng 2022 sa pamamagitan ng bug bounty program ng Twitter. Ang flaw na ito ay nagbigay-daan sa mga masamang tao na makuha ang pribadong data ng gumagamit—kabilang ang mga email address at numero ng telepono—sa pamamagitan lamang ng pagpasok ng mga ito sa sistema. Bago maayos ang isyu, ang mga umaatake ay nagsimula nang mangolekta at magbenta ng datos na ito online.

Inamin ng Twitter ang paglabag noong Hulyo 2022, na nagsasaad:

“Matapos suriin ang isang halimbawa ng available na datos na ibinibenta, nakumpirma namin na may isang masamang tao na nakinabang sa isyu bago ito na-address.”

Ngayon, noong 2025, ang parehong dataset ay naiulat na muling lumitaw—pinahusay at pinalawak sa mas bagong impormasyon—at ini-released nang buo ng isang gumagamit na gumagamit ng pangalang ThinkingOne.

Ayon sa isang post sa isang kilalang breach forum, naglabas si ThinkingOne ng isang 34 GB CSV file na naglalaman ng 201,186,753 tala, bawat isa ay may kumbinasyon ng pampubliko at pribadong datos. Kasama dito: mga X screen name at ID ng gumagamit, mga buong pangalan at detalye ng profile, mga lokasyon, mga email address, bilang ng mga tagasunod at iba pa.

Kumpirmado ng grupo ng cybersecurity na Safety Detectives na ang malaking bahagi ng datos ay mukhang totoo. Natagpuan ng kanilang pagsusuri ang pare-parehong format at tumutugmang tala kapag inihambing sa kilalang impormasyon ng gumagamit.

Sa isang palitan ng email kasama si Davey Winder, isang kontribyutor ng cybersecurity sa Forbes, nilinaw ng nag-leak na hindi sila umuugnay sa mga hacker, kundi isang “mahilig sa datos” na nagpapatakbo sa loob ng mga legal na hangganan.

“Hindi ko itinuturing ang sarili ko na isang hacker,” sabi ni ThinkingOne. “Ibinabahagi ko lamang kung ano ang nasa labas na—nakolekta at nalinis. Ang layunin ko ay hindi makasakit. Ito ay kamalayan.”

Nag-drop din sila ng isang bomba:

“Ang tunay na kwento dito ay na 2.8 bilyong Twitter IDs ang na-exfiltrate. Iyan ay lampas sa bilang ng mga aktibong gumagamit. Paano naka-enumerate ang bawat Twitter ID maliban kung sila ay may internal access?”

Ito ay nagdudulot ng seryosong mga katanungan kung ang orihinal na paglabag ay higit pa sa unang naiulat—o kung maraming pag-leak ng datos ang pinagsama.

Ayon kay ThinkingOne, ilang mga pagtatangka ang ginawa upang ipaalam ang X bago ilabas ang dataset, ngunit sila ay nagsasabing wala silang natanggap na tugon. Sa oras ng pagsusulat na ito, hindi naglabas ang X ng opisyal na pahayag tungkol sa leak o sa mga implikasyon nito para sa mga apektadong gumagamit.

Sa mga nakaraang insidente sa seguridad, karaniwang ang pamumuno ni Musk ay nakatutok sa damage control sa pamamagitan ng mga post sa X o maikling mga pahayag sa press. Gayunpaman, walang ganitong mga pahayag ang isinagawa ng publiko sa kasong ito.

Ang paglabag na ito sa datos ay sumusunod sa isang serye ng mga problema na may kaugnayan sa seguridad para sa platform:

Ang mga insidenteng ito ay nagtaas ng mga alalahanin kung ang teknikal na koponan ng platform ay sapat na na-resourced at naka-structura upang harapin ang mga banta sa malaking sukat.

Bagamat hindi kinumpirma ng X ang leak, pinapayuhan ang mga gumagamit na agad na mag-ingat, kabilang ang:

Dahil sa likas ng paglabag, ang mga naapektuhang gumagamit ay maaaring mapanganib sa spam, impersonation, o mas seryosong mga atake batay sa pagkakakilanlan.

Maaaring ito ang isa sa mga pinaka-mahahalagang pag-leak ng datos sa social media na naitala, parehong sa sukat at implikasyon. Sa higit sa 200 milyong gumagamit na naapektuhan at 2.8 bilyong ID na nalantad, ang paglabag ay nagpapakita ng mga pangmatagalang kahinaan na maaaring hindi pa ganap na nalutas kahit maraming taon matapos matuklasan ang orihinal na exploit.

Sa ngayon, nasa X ang pagkakataon na tumugon—at magbigay ng katiyakan sa isang napaka-nababalisa na base ng gumagamit.

Ito ay isang umuunlad na kwento at maa-update habang mas maraming impormasyon ang maging available.