È stato divulgato su BreachForums un dataset di 34 GB in CSV contenente informazioni dettagliate sugli utenti di X/Twitter, accessibile a chiunque disponga di un account sul sito underground.
L’attore della minaccia, che si firma con lo pseudonimo ThinkingOne, ha affermato di aver combinato dati provenienti da una precedente fuga di informazioni pubblica (gennaio 2023) con un nuovo dataset, ottenendo un archivio più ampio e dettagliato.
L’autenticità del dataset è stata parzialmente verificata dal team di SafetyDetectives attraverso il controllo incrociato di 100 utenti e dei loro dati associati.
Sebbene il contenuto sia stato confermato come valido, però, non è stato possibile stabilire con certezza se gli indirizzi email appartengano effettivamente agli utenti elencati nel database.
Indice degli argomenti
Natura dei dati esfiltrati
Il file CSV contenente i 201 milioni di record include le seguenti informazioni:
- ID utente
- Nome e screen name
- Localizzazione
- Descrizione e URL
- Fuso orario e lingua
- Numero di follower e amici
- Account verificato o meno
- Data di creazione dell’account e ultima attività
L’autore del post sul forum annuncia, quindi, della presenza di un nuovo leak di dati esfiltrati a X da un insider scontento del lavoro presso l’azienda (e dei licenziamenti), il nuovo leak sarebbe datato gennaio 2025, con dentro 2,8 miliardi di righe (utenti esposti), circa 400 GB di spazio su disco.
Questi dati sono serviti per arricchire un vecchio leak di 200 milioni di utenti (del 2023), sono stati poi quindi divulgati e resi noti al download, sul post oggetto di questo articolo, solo le righe che risultano presenti in entrambi i dataset, potendo riportare tutte le informazioni sopra elencate, per ogni riga.
Questo totale è stato quindi aggiornato di 1 milione di righe circa e l’attuale file condiviso nel forum corrisponde ai 34 GB di file CSV, con dentro appunto 201.186.753 utenti.
Si precisa che il post non mette i dati all’asta o in vendita, ma semplicemente li divulga per lo scaricamento a chiunque abbia accesso a tale forum, in maniera libera e incontrollata.
Questa tipologia di dati, sebbene non includa direttamente credenziali di accesso o informazioni finanziarie, costituisce una fonte estremamente preziosa per attacchi mirati, come phishing avanzato, social engineering e tentativi di takeover degli account.
Cosa non torna in questo nuovo data leak di X
Una curiosità sul contenuto di questo leak è l’enormità dei dati in esso contenuti che, come abbiamo detto, ammontano a 400 GB. Quello che ci si chiede è quanti utenti abbia X al momento.
Abbiamo verificato e ci sono statistiche che risalgono alla data dell’acquisto della piattaforma Twitter da Elon Musk (2023) che parlano di meno di un miliardo di utenti registrati con 500 mila utenti attivi operanti sul social network.
A fine del 2024, lo stesso Elon Musk scrive il post che riportiamo in figura nel quale, parlando della piattaforma, sottolinea che X abbia circa 1 miliardo di utenti registrati e il 60% dei quale sarebbe attivo nella quotidianità (il restante 40% accederebbe solo durante eventi di grande portata).
È possibile che le statistiche abbiano necessità di essere interpretate, immaginiamo che ci sia particolare confusione con la distinzione tra utenti attivi e utenti della piattaforma, evidentemente (se il leak riporta effettivamente quella mole di dati), gli utenti registrati sono molti di più di quelli che le statistiche prendono in considerazione, allo stato attuale.
Possibili vettori di attacco e implicazioni
L’analisi dell’incidente suggerisce che la fuga di dati potrebbe derivare da scraping massivo piuttosto che da una compromissione diretta dei sistemi di X. Tuttavia, la combinazione dei dati esfiltrati con altri database compromessi rappresenta un rischio significativo.
Le principali minacce per gli utenti coinvolti sono:
- Phishing mirato: con accesso a email e dettagli personali, i cybercriminali possono creare email altamente personalizzate per ingannare le vittime.
- Attacchi di social engineering: l’utilizzo delle informazioni pubbliche e private per manipolare gli utenti e indurli a divulgare ulteriori dati sensibili.
- Account Takeover (ATO): la combinazione di dati esposti con password già trapelate in altri breach può portare al furto di account attraverso tecniche di credential stuffing.
- Attacchi BEC (Business Email Compromise): se email aziendali fossero incluse nel leak, potrebbero essere sfruttate per compromettere comunicazioni aziendali e orchestrare truffe finanziarie.
Responsabilità e risposte di X
Il leak pone questioni sulla gestione della sicurezza da parte di X, soprattutto considerando che l’attore della minaccia ha dichiarato di aver cercato di avvisare l’azienda senza ricevere risposta.
Questo episodio mette in luce la necessità per le piattaforme di social media di rafforzare i meccanismi di sicurezza e implementare sistemi più efficaci di rilevamento e risposta agli incidenti.
Alcune misure che X dovrebbe adottare includono:
- Migliorare le protezioni contro lo scraping su larga scala.
- Implementare avvisi automatici agli utenti in caso di anomalie nell’accesso o cambiamenti ai dati sensibili.
- Rafforzare i sistemi di autenticazione, spingendo per l’adozione dell’autenticazione a più fattori (MFA).
Raccomandazioni per gli utenti
Gli utenti potenzialmente coinvolti nel leak dovrebbero adottare immediatamente le seguenti precauzioni:
- Attenzione ai tentativi di phishing: non cliccare su link sospetti e verificare sempre la legittimità delle email ricevute.
- Abilitare MFA ovunque possibile: per proteggere gli account da accessi non autorizzati.
- Monitorare eventuali attività sospette: controllare eventuali login non riconosciuti o attività anomale.
La fuga di dati di oltre 200 milioni di utenti di X rappresenta uno degli episodi più gravi di esposizione di informazioni nel 2025.
Sebbene non vi siano prove di una compromissione diretta dei sistemi interni della piattaforma, il dataset pubblicato potrebbe essere sfruttato per una vasta gamma di futuri attacchi informatici.
