Un ciberdelincuente asegura tener los datos robados de 400 millones de usuarios y venderlos a cambio de 200.000 dólares.
Bajo el pseudónimo de GOD User, el ciberdelincuente ha puesto a la venta en el conocido foro de piratería Breached, los datos de millones de usuarios de Twitter robados entre 2021 y principios de 2022. Según apunta, se habría hecho con la ingente cantidad de datos aprovechando una vulnerabilidad ya reparada pero que, en su momento, le permitió robar esta información.
Se trata de datos como los nombres, números de teléfono, direcciones de correo electrónico, número de seguidores y la fecha de creación de las cuentas. Una información que afecta a 400 millones de usuarios tanto anónimos como de cuentas verificadas.
Y es que, en muchos casos, se tratan de datos que afectan a políticos, celebridades y empresas. Entre ellas, se encuentran nombres como el hijo de Donald Trump, el empresario Kevin O’Leary, y la política de la Cámara de Representantes de Estados Unidos, Alexandria Ocaso-Cortez, entre otros muchos.
El ciberdelincuente los vende a cambio de 200.000 dólares, unos 188.000 euros.
Una vulnerabilidad permitió el robo de los datos
Si se confirmarse que este actor malicioso tiene realmente estos datos, supondría un nuevo golpe para Twitter tras la filtración de los datos de 5,4 millones de usuarios hace apenas un mes.
Desde la compañía han confirmado que este robo de información pudo haberse producido como consecuencia del error en la actualización de su código en junio de 2021.
Esta vulnerabilidad en su API permitía introducir grandes listas de números de teléfono y direcciones de correo electrónico y recibir una ID de usuario de Twitter asociada. Con esta identificación, el ciberdelincuente utiliza otra IP para recopilar los datos del perfil público de los usuarios creando un perfil con datos públicos y privados.
Aprovechando esta vulnerabilidad en su API, el ciberdelincuente recopiló todos estos datos que ahora pone a la venta y que, además, se ha atrevido a recomendar a Elon Musk que los compre. Como amenaza ha utilizado la posibilidad de que el magnate y nuevo CEO de Twitter se enfrente a una multa por incumplimiento del Reglamento General de Protección de Datos (RGPD).
