A principios de este año, se realizó un informe en HackerOne sobre una vulnerabilidad las cuentas de Twitter que permitía a un atacante obtener el número de teléfono junto con la dirección de teléfono asociados a la cuenta de la red social, incluso si el usuario había ocultado esta información en la configuración de privacidad. El 1 de enero de 2022, el usuario de HackerOne “zhirinovskiy” envió el informe describiendo las consecuencias potenciales de esta vulnerabilidad como una amenaza grave que podría ser explotada por los actores de amenazas.
Cinco días después de publicar el informe, el personal de Twitter reconoció que se trataba de un “problema de seguridad válido” y prometió investigar más a fondo. Después de investigar más a fondo el problema y trabajar para corregir la vulnerabilidad, Twitter recompensó al usuario zhirinovskiy con 5.040 dólares por la vulnerabilidad descubierta.
Los datos de 5,4 millones de cuentas de Twitter filtrados.
Pues tal y como lo describió zhirinovskiy, en el informe inicial de enero, ahora hay una base de datos a la venta que ha sido obtenida mediante esa fórmula.
La publicación dice que la base de datos supuestamente consta de 5,4 millones de datos de cuentas de Twitter a la venta. El vendedor en el foro de piratería utiliza el nombre de usuario “devil” y afirma que el conjunto de datos incluye:
- ID Twitter
- Name
- Screen_Name
- Location
- URL
- Protected
- Followers_count
- Friends_count
- Listed_count
- Created_at
- Profile_image
- Verified
- phone
Unas horas después de que se hiciera la publicación, el propietario de Breach Forums verificó la autenticidad de la filtración y también señaló que se extrajo a través de la vulnerabilidad del informe de HackerOne anterior.
El usuario de Breach Forums también publicó una muestra de los datos y los compañeros de RestorePrivacy descargaron la muestra para verificarla y analizarla y descubrieron que incluye personas de todo el mundo, con información de perfil público, así como el correo electrónico o el número de teléfono del usuario de Twitter utilizado con la cuenta.
¿Cómo me puedo me puedo proteger?
Esta brecha puede permitir que una persona busque y encuentre fácilmente las direcciones de correo electrónico y los números de teléfono de 5,4 millones de usuarios de Twitter, por lo que es importante ser muy escéptico con los correos electrónicos y los mensajes de texto que dicen ser de “Twitter” y que solicitan cosas como una actualización de la contraseña, etc.
Por precaución, conviene que cambiemos la contraseña de nuestra cuenta de la red social. Además, si no lo tienes activado ya, deberías activar cuanto antes la autenticación de doble factor (2FA) en la red social.
Fundador y director de DerechodelaRed.