Más de 5,4 millones de datos de usuarios de Twitter que contienen información privada han sido robados aprovechando una vulnerabilidad en una API reparada el pasado mes de enero. Unos datos se han compartido de forma gratuita en el foro Breached Forums.
Los datos de los millones de usuarios de Twitter que se han publicado son datos de información pública, pero también privada, como números de teléfono y direcciones de correo electrónico.
Esta brecha de seguridad se remonta al pasado mes de julio cuando un actor de amenazas empezó a vender la información privada de más de 5,4 millones de usuarios de Twitter en un foro de piratería por 30.000 dólares.
Si bien la mayoría de los datos consistía en información pública, como ID de Twitter, nombres, nombres de inicio de sesión, ubicaciones y estado de verificación, también incluía información privada, como números de teléfono y direcciones de correo electrónico.
Estos datos se habían recopilado en diciembre de 2021 aprovechando una vulnerabilidad de la API de Twitter que se hizo pública a través del programa de recompensas por errores de HackerOne. Esta brecha permitía a las personas enviar números de teléfono y direcciones de correo electrónico a la API para recuperar la ID de Twitter asociada.
Sin embargo, utilizando esta identificación, los delincuentes podían extraer información pública de la cuenta que quisieran para crear un registro de usuario que con información pública y privada.
Cuando esta brecha se hizo pública, Twitter confirmó que había sufrido una violación de datos mediante un error de API y que lo había solucionado en enero de 2022.
Twitter podría tener comprometidos más datos
Según apuntan desde BleepingComputer, el propietario del foro en el que se estaba vendiendo esta información ha reconocido que ellos fueron los responsables de explotar el error y crear el volcado masivo de registros de usuarios de Twitter. Esto lo hicieron después de que un actor de amenazas conocido como ‘Devil’ compartiera la vulnerabilidad con ellos.
Además de los 5,4 millones de registros a la venta, también hubo 1,4 millones de perfiles de Twitter adicionales para usuarios suspendidos que se recopilaron mediante una API diferente. Con ello, el total de perfiles de Twitter con información privada que ha sido robada se eleva a casi 7 millones.
De acuerdo con el propietario del foro, este segundo volcado de datos no se vendió y solo se compartió de forma privada entre algunas personas.
Estos registros contienen una dirección de correo electrónico privada o un número de teléfono. Los datos recopilados públicos, incluidos el ID de Twitter de la cuenta, son el nombre, el nombre de pantalla, el estado de verificación, ubicación, URL, la descripción, el número de seguidores, la fecha de creación de la cuenta, el número de amigos, el número de favoritos, recuento de estados y URL de imagen de perfil.
Si bien es preocupante que los actores de amenazas hayan publicado 5,4 millones de registros de forma gratuita, la supuesta creación de un volcado de datos aún mayor utilizando la misma vulnerabilidad crea aún una mayor inquietud.
Este volcado de datos contiene, supuestamente, decenas de millones de registros de Twitter con números de teléfono personales recopilados con el mismo error de API, así como información pública, incluido el estado de verificación, nombres de cuenta, ID de Twitter, biografía y nombre de pantalla.
Extremar las precauciones como protección
Esta nueva filtración implica una violación de datos adicional a la sufrida en julio. Además, ninguno de estos números de teléfono está presente en los datos originales vendidos en agosto. Esto evidencia que la violación de datos de Twitter ha sido aún mayor de lo que se pensaba en un inicio.
No obstante, el responsable del foro en el que se publicaron los primeros datos ha manifestado que no es responsable de esta segunda filtración y que desconoce quién ha volcado los nuevos datos. Por lo tanto, otras personas han aprovechado la vulnerabilidad de la API con lo que la cifra de datos robados podría ascender a más de 17 millones de registros.
Dado que estos datos se pueden utilizar para ataques de phishing dirigidos para obtener acceso a las credenciales de inicio de sesión, es importante analizar cualquier correo electrónico que afirme proceder de Twitter.
Aquellos usuarios que reciban un correo electrónico en el que se les diga que su cuenta ha sido suspendida, que hay problemas de inicio de sesión o que está a punto de perder su estado verificado y se le solicite que inicie sesión en un dominio que no sea de Twitter, deben ignorarlos. Es importante no pinchar en ningún enlace contenido en estos correos y eliminarlos completamente.
