Filtran los datos robados de 5.4 millones de usuarios de Twitter
Más de 5.4 millones de registros de usuarios de Twitter que contienen información no pública robada mediante una vulnerabilidad de API solucionada en enero se han compartido de forma gratuita en un foro de hackers.
Un investigador de seguridad también reveló otro volcado de datos masivo, potencialmente más significativo, de millones de registros de Twitter. Esto demuestra cuán ampliamente abusaron de esta vulnerabilidad los ciberdelincuentes.
Los datos consisten en información pública recopilada, así como números de teléfono privados y direcciones de correo electrónico que no deben ser públicas.
La infracción de datos de Twitter
En julio pasado, un ciberdelincuente comenzó a vender la información privada de más de 5.4 millones de usuarios de Twitter en un foro de hacking por 30,000 dólares.
Si bien la mayoría de los datos consistía en información pública, como ID de Twitter, nombres, nombres de inicio de sesión, ubicaciones y estado verificado, también incluía información privada. Por ejemplo, números de teléfono y direcciones de correo electrónico.
Estos datos se recopilaron en diciembre de 2021 mediante una vulnerabilidad de la API de Twitter revelada en el programa de recompensas por errores de HackerOne. La susodicha vulnerabilidad permitía a las personas enviar números de teléfono y direcciones de correo electrónico a la API para recuperar el ID asociado de Twitter
Usando este ID, los ciberdelincuentes podían extraer información pública sobre la cuenta para crear un registro de usuario que contenía información pública y privada, como se muestra a continuación.
No está claro si se filtró la divulgación de HackerOne. No obstante, información revela que varios ciberdelincuentes estaban utilizando la vulnerabilidad para robar información privada de Twitter.
Después de que algunos medios compartieran una muestra de los registros de usuarios con Twitter, la empresa de redes sociales confirmó que había sufrido una infracción de datos mediante un error de API solucionado en enero de 2022.
Atribución de la filtración
Pompompurin, el propietario del foro de hackers Breached, dijo este fin de semana que ellos eran los responsables de explotar el error y crear el volcado masivo de registros de usuarios de Twitter. Esto ocurrió después de que otro hacker conocido como ‘Devil’ compartiera la vulnerabilidad con ellos.
Además de los 5.4 millones de registros a la venta, también hubo 1.4 millones de perfiles de Twitter adicionales para usuarios suspendidos recopilados mediante una API diferente. En otras palabras, esto eleva el total a casi 7 millones de perfiles de Twitter que contienen información privada.
Pompompurin dijo que este segundo volcado de datos no se vendió y solo se compartió de forma privada entre unas pocas personas.
Datos de Twitter compartidos en un foro de hacking
En septiembre, y ahora más recientemente, el 24 de noviembre, los 5-4 millones de registros de Twitter ya se han compartido de forma gratuita en un foro de hacking.
Pompompurin ha confirmado que estos son los mismos datos que estaban a la venta en agosto e incluyen 5,485,635 registros de usuarios de Twitter.
Estos registros contienen una dirección de correo electrónico privada o un número de teléfono y datos públicos recopilados, incluidos el ID de Twitter de la cuenta. Además, incluyen el nombre, el nombre de pantalla, el estado verificado, la ubicación, la URL, la descripción, el número de seguidores, la fecha de creación de la cuenta, el número de amigos, el número de favoritos, recuento de estados y URL de imagen de perfil.
Un volcado de datos aún más grande creado de forma privada
Si bien es preocupante que los ciberdelincuentes publicaron los 5.4 millones de registros de forma gratuita, eso no es lo peor. Supuestamente se creó un volcado de datos aún mayor utilizando la misma vulnerabilidad.
Este volcado de datos contiene potencialmente decenas de millones de registros de Twitter que consisten en números de teléfono personales recopilados con el mismo error de API e información pública. Esto incluye el estado verificado, nombres de cuenta, ID de Twitter, biografía y nombre de pantalla.
La noticia de esta infracción de datos más significativa proviene del experto en seguridad Chad Loder. Él fue el primero en dar a conocer la noticia en Twitter y fue suspendido poco después de publicarlo. Posteriormente, Loder publicó una muestra redactada de esta infracción de datos más grande en Mastodon.
“Acabo de recibir evidencia de una violación masiva de datos de Twitter que afecta a millones de cuentas de Twitter en la Unión Europea y Estados Unidos. Me puse en contacto con una muestra de las cuentas afectadas y confirmaron que los datos filtrados son precisos. Esta infracción ocurrió después de 2021″.
Información compartida por Loader en Twitter
Algunos medios de comunicación especializados en seguridad obtuvieron un archivo de muestra de este registro de datos de Twitter previamente desconocido. La base de datos contiene 1,377,132 números de teléfono para usuarios en Francia.
Desde entonces, han confirmado con numerosos usuarios en esta filtración que los números de teléfono son válidos, verificando así que esta filtración de datos adicional es real.
Además, ninguno de estos números de teléfono está presente en los datos originales vendidos en agosto. Esto ilustra cuán mayor fue la filtración de datos de Twitter de lo que se reveló anteriormente y la gran cantidad de datos de usuarios que circulan entre los ciberdelincuentes.
Hackers aprovechando la vulnerabilidad
Pompompurin también confirmó que no eran responsables y que no sabían quién creó este volcado de datos recién descubierto. Es decir, otras personas usaron esta vulnerabilidad de API.
El sitio BleepingComputer confirmó que este volcado de datos recientemente descubierto consta de numerosos archivos divididos por países y códigos de área, incluidos Europa, Israel y Estados Unidos.
Según la información, la filtración consta de más de 17 millones de registros, pero pudo ser confirmada de forma independiente.
Dado que estos datos se pueden utilizar potencialmente para ataques de phishing dirigidos a obtener acceso a las credenciales de inicio de sesión. Por lo tanto, es esencial analizar cualquier correo electrónico que afirma provenir de Twitter.
Si recibes un correo electrónico que dice que tu cuenta fue suspendida, hay problemas de inicio de sesión o estás a punto de perder tu estado verificado, y te solicita que inicies sesión en un dominio que no sea de Twitter, ignora los correos electrónicos y elimínalos ya que es probable que sean intentos de phishing.
Diversos medios se han comunicado con Twitter sobre este volcado de datos adicionales de información privada. No obstante, hasta este momento Twitter no ha dado ninguna respuesta.
