Más de 5,4 millones de registros de usuarios de Twitter que contienen información no pública robada mediante una vulnerabilidad de la API corregida en enero se han compartido de forma gratuita en Breached Forums.

Un investigador de seguridad también ha revelado otro volcado masivo de datos, potencialmente más significativo, de millones de registros de Twitter, lo que demuestra el amplio abuso de este fallo por parte de los ciberdelincuentes.

Los datos consisten en información pública , así como números de teléfono privados y direcciones de correo electrónico que no están destinados a ser públicos.

La filtración de datos de Twitter

El pasado mes de julio, un agente de amenazas comenzó a vender la información privada de más de 5.4 millones de usuarios de Twitter en un foro de hacking por 30.000 dólares.

Aunque la mayoría de los datos consistían en información pública, como los ID de Twitter, nombres, nombres de inicio de sesión, ubicaciones y estado verificado, también incluían información privada, como números de teléfono y direcciones de correo electrónico.

Estos datos se recopilaron en diciembre de 2021 utilizando una vulnerabilidad de la API de Twitter revelada en el programa de recompensas de errores de HackerOne que permitía a las personas enviar números de teléfono y direcciones de correo electrónico a la API para recuperar el ID de Twitter asociado.

Usando este ID, los actores de la amenaza podían entonces raspar la información pública sobre la cuenta para crear un registro de usuario que contenía tanto información privada como pública.

Pompompurin, el propietario del foro de hacking Breached Forums, reconoció a BleepingComputer este fin de semana que ellos fueron los responsables de explotar el fallo y crear el volcado masivo de registros de usuarios de Twitter después de que otro actor de amenazas conocido como ‘Devil’ compartiera la vulnerabilidad con ellos.

Además de los 5,4 millones de registros a la venta, también había otros 1.4 millones de perfiles de Twitter de usuarios suspendidos recopilados mediante una API diferente, lo que eleva el total a casi 7 millones de perfiles de Twitter con información privada.

Pompompurin dijo que este segundo volcado de datos no se vendió y sólo se compartió en privado entre unas pocas personas.

Datos de Twitter compartidos (otra vez)

En septiembre, y ahora más recientemente, el 24 de noviembre, los 5,4 millones de registros de Twitter han sido compartidos gratuitamente en el mismo foro.

Pompompurin ha confirmado a BleepingComputer que se trata de los mismos datos que estaban a la venta en agosto, e incluyen 5.485.635 registros de usuarios de Twitter.

Estos registros contienen una dirección de correo electrónico privada o un número de teléfono, y datos públicos raspados, incluyendo el ID de Twitter de la cuenta, el nombre, el nombre de pantalla, el estado verificado, la ubicación, la URL, la descripción, el recuento de seguidores, la fecha de creación de la cuenta, el recuento de amigos, el recuento de favoritos, el recuento de estados y las URL de las imágenes de perfil.

Lo más curioso esta vez, es que la base de datos agrega a lo ya conocido datos de 1.4 millones de cuentas que han sido suspendidas por Twitter, elevando el número hasta los 6.7 millones de cuentas vulneradas y dejándonos la pregunta de por dónde se pasa Twitter los plazos de conservación de la información de sus usuarios contemplados en el RGPD.

Mientras tanto, si te llega un correo electrónico diciendo que tu cuenta de Twitter va a ser (o ha sido suspendida), que vas a perder o que si quieres la verificación y cualquier otra cosa sospechosa en relación a tu cuenta de Twitter, ten cuidado ya que puede tratarse de un intento de suplantar tu identidad.