Een zelfbenoemde data-enthousiasteling die zichzelf ThinkingOne noemt, heeft een enorme database met 201 miljoen gebruikersgegevens van X gratis beschikbaar gesteld. De data zou afkomstig zijn van twee eerdere lekken en bevat onder meer e-mailadressen, locaties en profielgegevens van gebruikers van het social media-platform.
De database van 34 GB bevat informatie die volgens onderzoekers van Safety Detectives authentiek is. Het team heeft de gegevens deels geverifieerd. Het gaat onder meer om X-schermnamen, user ID’s, volledige persoonsnamen, locaties, e-mailadressen, aantal volgers, profielgegevens, tijdzones en profielfoto’s.
Kwetsbaarheid in (toen nog) Twitter stond aan de basis
De oorsprong van het datalek gaat terug naar januari 2022, toen Twitter via zijn bug bounty-programma een kwetsbaarheid ontdekte, meldt Forbes. Deze kwetsbaarheid maakte het mogelijk om gebruikersgegevens te verzamelen door simpelweg iemands e-mailadres of telefoonnummer te kennen.
In juli 2022 bevestigde Twitter dat iemand de kwetsbaarheid had misbruikt voordat deze kon worden verholpen. “Na het bekijken van een sample van de te koop aangeboden data, bevestigden we dat een kwaadwillende partij had geprofiteerd van het probleem voordat het werd aangepakt,” verklaarde Twitter destijds.
Combinatie van eerdere datalekken
ThinkingOne beweert dat de vrijgegeven database een combinatie is van deze eerdere hack en een ander datalek dat volgens hem in januari 2025 plaatsvond. Het cybersecurityteam van Safety Detectives, dat het verhaal dit weekend naar buiten bracht, meldt dat ThinkingOne alleen records heeft opgenomen van X-gebruikers die in beide datasets voorkwamen.
De ‘data-enthousiasteling’ zou hebben geprobeerd contact op te nemen met X om hen te informeren over het lek, maar kreeg volgens eigen zeggen geen reactie. Daarop besloot hij de gegevens gratis beschikbaar te stellen via een bekend forum voor datalekken. Alleen data die in beide lekken (januari 2022 en januari 2025) voorkomt, is vrijgegeven.
Potentiële risico’s voor gebruikers
De gelekte data vormt een potentieel risico voor X-gebruikers. Met de beschikbare informatie kunnen kwaadwillenden gerichte phishing-aanvallen uitvoeren, accounts kapen en mogelijk identiteitsdiefstal plegen. Vooral omdat de dataset volledige namen combineert met e-mailadressen en locatiegegevens.
Hoewel X nog niet officieel heeft gereageerd op dit incident, is het verstandig voor gebruikers om hun wachtwoorden te wijzigen en waar mogelijk two-factor authentication in te schakelen. Ook is het raadzaam alert te zijn op verdachte e-mails die zich voordoen als afkomstig van X of andere diensten.