La API de Twitter una vez tuvo un fallo tan fácil de explotar que los piratas informáticos lograron obtener 5,4 millones de detalles de usuario. Ahora, según informes y menciones de usuarios en foros de hackers, hay varios millones más de puntos de datos de usuarios flotando en Internet.
BleepingComputer informó el lunes que los 5,4 millones de registros de usuarios que contienen contraseñas, números de teléfono, correos electrónicos y más pueden haber sido solo la punta del iceberg de una brecha mucho mayor en los datos de la empresa. Los datos se extrajeron originalmente de Twitter utilizando un falloen la interfaz de programación de aplicaciones (API) de la plataforma, pero ahora se comparten abiertamente online. Como lo resumió HackerOne a principios de este año, los piratas informáticos descubrieron que había una manera de permitir que cualquier persona obtuviera la ID de Twitter de un usuario al enviar su número de teléfono o correo electrónico al sistema, incluso si el usuario había desactivado esa opción en su cuenta.
Twitter se sinceró sobre el exploit original en su API y la violación de millones de ID de usuario. En ese momento, la plataforma dijo que estaba notificando a los usuarios que podían confirmar que se vieron afectados por la violación de datos. Pero el destacado investigador antifascista y experto en seguridad Chad Loder incluyó algunas pruebas de un robo de datos adicional en su perfil de Mastadon el 25 de noviembre. Loder le dijo a 9to5Mac la semana pasada que parecía haber “múltiples actores de amenazas, operando de forma independiente” tomando datos del Reino Unido, algunas naciones de la UE y algunas partes de los EE. UU., principalmente desde finales de 2021. Ese segundo conjunto de datos podría incluir alrededor de 1,4 millones de perfiles más.
Un hilo publicado en BreachForums, también conocido como Breached, compartió la semana pasada los 5,4 millones de puntos de datos originales de forma gratuita y, al momento de informar, ese hilo del foro todavía está en funcionamiento. Gizmodo no pudo confirmar la autenticidad de los datos, aunque el hilo del foro señaló que los 1,4 millones adicionales de cuentas suspendidas aún pueden estar difundiéndose solo en círculos privados.
Aunque todavía hay dudas sobre cuántas de esas cuentas incluyen información nueva. LeakCheck, un verificador de contraseñas de seguridad cibernética, señaló en el mismo hilo del foro que tal vez solo el 12% de esos correos electrónicos encontrados en los más de 500 GB de datos eran nuevos, es decir, que no se habían encontrado en filtraciones anteriores.
Entonces, eso es hasta 7 millones de usuarios o ex usuarios que pueden tener la información de su cuenta flotando en Internet. BleepingComputer también dijo que se había puesto en contacto con el usuario que se hace llamar Pompompurin, el propietario de Breached, quien afirmó ser el pirata informático original que explotó Twitter a finales del año pasado. Se suponía que los 1,4 millones de registros no serían públicos, según Pompompurin, aunque parece que se han filtrado de todos modos. BleepingComputer señaló que los datos podrían consistir en más de 17 millones de registros de usuarios, mucho más de lo que se informó originalmente, aunque el número completo no se ha identificado legítimamente.
Los piratas informáticos en el foro de hackers de Breached habían publicado originalmente esos datos por $ 30 millones, pero este informe más reciente ahora dice que los datos están disponibles online de forma gratuita. BleepingComputer señaló que obtuvo acceso a una porción de 1,37 millones de registros filtrados para usuarios en Francia. Desde entonces, ha confirmado con al menos algunos de los usuarios enumerados en la filtración que sus números eran válidos. Podría haber incluso más números de teléfono en la lista más reciente en comparación con lo que se mostró a principios de este año.
Aunque Twitter tiene más de 200 millones de usuarios activos diarios (a pesar de que el CEO Elon Musk afirma en exceso que esos usuarios van en aumento), una brecha de 17 millones sería una de las mayores filtraciones de datos de usuarios, aunque no la más grande de ninguna manera. Un hacker robó previamente 100 millones de instancias de información de usuario de CapitalOne, y el hacker responsable fue sentenciado a cinco años de libertad condicional. LinkedIn se ha ocupado de 500 millones de perfiles de usuario extraídos de sus sistemas. La empresa de transporte compartido Uber ha sufrido importantes ataques a los datos de los usuarios en dos ocasiones, una en 2016 y otra hace solo unos meses.