Hacker pone a la venta datos de 5,4 millones de usuarios de Twitter por 30.000 dólares

Una vulnerabilidad de Twitter descubierta en enero de 2022 permitió que un actor de amenazas obtuviera acceso a una base de datos que contenía números de teléfono y direcciones de correo electrónico pertenecientes a 5,4 millones de usuarios de cuentas de Twitter, según lo informado por primera vez por RestorePrivacy.

Si bien la vulnerabilidad de Twitter había sido reparada, el atacante conocido como 'diablo' ahora está vendiendo la base de datos supuestamente adquirida de este exploit en Breached Forums, un popular foro de piratería, por $ 30,000. La base de datos contiene información sobre varias cuentas, incluidas celebridades, empresas y usuarios aleatorios.

“Hola, hoy les presento datos recopilados sobre múltiples usuarios que usan Twitter a través de una vulnerabilidad. (5485636 usuarios para ser exactos)”, se lee en la publicación de los foros vendiendo los datos de Twitter. "Estos usuarios van desde celebridades hasta empresas, aleatorios, OG, etc."

En enero de 2022, hackeruno usuario "zhirinovskiy" reportado una vulnerabilidad de Twitter que permitía a un atacante encontrar una cuenta de Twitter por su número de teléfono/correo electrónico incluso si el usuario lo había prohibido en las opciones de privacidad.

La vulnerabilidad ocurrió durante el proceso de autorización de Twitter utilizado en el Cliente Android de Twitter, particularmente en el proceso de examen de la duplicación de una cuenta de Twitter.

El informe de error decía: "Esta es una amenaza grave, ya que las personas no solo pueden encontrar usuarios que han restringido la capacidad de ser encontrados por correo electrónico / número de teléfono, sino que cualquier atacante con un conocimiento básico de secuencias de comandos / codificación puede enumerar una gran parte de la base de usuarios de Twitter no está disponible [sic] a enumeración previa (crear una base de datos con conexiones de teléfono/correo electrónico a nombre de usuario). Dichas bases se pueden vender a partes malintencionadas con fines publicitarios o con el fin de apuntar a celebridades en diferentes actividades maliciosas".

Twitter reconoció el 6 de enero de 2022 que se trataba de un “problema de seguridad válido” y prometió investigar. Solucionó el problema el 13 de enero de 2022 e incluso recompensó hackeruno usuario "zhirinovskiy”Con una recompensa de $ 5,040 por descubrir el error.

El propietario de Breach Forums ha verificado la autenticidad de la filtración y también señaló que se obtuvo a través de la vulnerabilidad de la hackeruno informe arriba.

RestaurarPrivacidad Verificó la base de datos de muestra con algunos de los usuarios de Twitter enumerados y descubrió que las direcciones de correo electrónico y los números de teléfono son precisos y están vinculados a usuarios reales.

Si bien Twitter no ha confirmado la fuga de datos reciente, un portavoz de Twitter dijo que la compañía está "revisando los datos más recientes para verificar la autenticidad de las afirmaciones y garantizar la seguridad de las cuentas en cuestión".

"Recibimos un informe de este incidente hace varios meses a través de nuestro programa de recompensas por errores, inmediatamente investigamos a fondo y solucionamos la vulnerabilidad. Como siempre, estamos comprometidos con la protección de la privacidad y la seguridad de las personas que usan Twitter”, dijo el vocero de Twitter.

“Estamos agradecidos con la comunidad de seguridad que participa en nuestro programa de recompensas por errores para ayudarnos a identificar posibles vulnerabilidades como esta. Estamos revisando los datos más recientes para verificar la autenticidad de los reclamos y garantizar la seguridad de las cuentas en cuestión".

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Ver más

  • Responsable: Susana Natividad Gomez.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Subir
Utilizamos cookies para una mejor experiencia. Al utilizar nuestro sitio web, usted acepta todas las cookies de acuerdo con nuestra Política de Cookies.    Configurar y más información
Privacidad