Twitter confirma el robo de datos confidenciales de 5,4 millones de usuarios, ?estoy entre ellos?

La red social contactar�� con todos los afectados para notific��rselo. La brecha de seguridad se produjo en enero de 2022.

Actualizado a 9 de agosto de 2022 18:33 CEST

En el mes de enero pasado, HackerOne, una plataforma de coordinaci��n de vulnerabilidades y recompensas de errores que conecta a las empresas con probadores de ciberataques e investigadores de ciberseguridad, public�� un informe sobre una vulnerabilidad que permite a cualquier parte, sin ning��n tipo de autenticaci��n, obtener un ID de Twitter (lo que es casi igual a obtener el nombre de usuario de una cuenta) de cualquier usuario presentando un n��mero de tel��fono/correo electr��nico, aunque el usuario haya prohibido esta acci��n en la configuraci��n de privacidad.

?El problema? Que alguien la ha usado. Y Twitter, al fin, lo reconoce.

Vulnerabilidad en Twitter

El fallo existe debido al proceso de autorizaci��n utilizado en el cliente Android de Twitter, concretamente en el proceso de comprobaci��n de la duplicaci��n de una cuenta de Twitter. Utilizando esta vulnerabilidad, un atacante puede encontrar una cuenta de Twitter por su n��mero de tel��fono/correo electr��nico aunque el usuario lo haya prohibido en las opciones de privacidad.

El usuario de HackerOne "zhirinovskiy" present�� el informe del fallo el 1 de enero de este a?o. Describi�� las posibles consecuencias de esta vulnerabilidad como una grave amenaza que podr��a ser explotada por actores de amenazas:

��Se trata de una amenaza grave, ya que no s��lo se puede encontrar a los usuarios que tienen restringida la capacidad de ser encontrados por correo electr��nico/n��mero de tel��fono, sino que cualquier atacante con conocimientos b��sicos de scripting/codificaci��n puede enumerar una gran parte de la base de usuarios de Twitter no valiosa para la enumeraci��n previa (crear una base de datos con conexiones de tel��fono/correo electr��nico a nombre de usuario). Dichas bases pueden ser vendidas a partes maliciosas con fines publicitarios, o con el prop��sito de etiquetar a celebridades en diferentes actividades maliciosas��.

5,4 millones de usuarios robados

El informe de HackerOne expone posteriormente c��mo replicar la vulnerabilidad y obtener los datos de una cuenta de Twitter. Cinco d��as despu��s de publicar el informe, el personal de Twitter reconoci�� que se trataba de un "problema de seguridad v��lido" y prometi�� seguir investigando. Despu��s de investigar el problema y trabajar para solucionar la vulnerabilidad, Twitter concedi�� al usuario zhirinovskiy una recompensa de 5.040 d��lares. Pero ya era tarde.

Alguien, ya fuese un solo cibercriminal o un grupo hacker, aprovech�� ese ��exploit�� para robar una base de datos de usuarios/as de Twitter compuesta por 5,4 millones de personas. Y la prueba de que existi�� un robo es que hay alguien en Breached Forums, el famoso foro de hacking que gan�� la atenci��n internacional a principios de este mes con una violaci��n de datos que expuso a m��s de mil millones de residentes chinos. vendiendo precisamente esa misma base de datos por los 30.000$ mencionados.

El site RestorePrivacy comprob�� que el post segu��a activo con la base de datos de Twitter que supuestamente consiste en 5,4 millones de usuarios a la venta. El vendedor en el foro de hacking se hace llamar "diablo" y afirma que el conjunto de datos incluye "Celebridades, a las empresas, al azar, OGs, etc". Unas horas despu��s de la publicaci��n, el propietario de Breach Forums verific�� la autenticidad de la filtraci��n y tambi��n se?al�� que fue extra��da a trav��s de la vulnerabilidad del informe de HackerOne mencionado anteriormente.

Un robo de datos confirmado

El usuario de Breach Forums que vendi�� la base de datos tambi��n public�� una muestra de los datos que RestoryPrivacy descarg�� para su verificaci��n y an��lisis. Incluye personas de todo el mundo, con informaci��n de perfil p��blico, as�� como el correo electr��nico o el n��mero de tel��fono del usuario de Twitter utilizado con la cuenta [��] Todas las muestras que hemos examinado coinciden con personas del mundo real que pueden verificarse f��cilmente con perfiles p��blicos en Twitter".

El site se puso en contacto con el vendedor de esta base de datos para obtener informaci��n adicional, y este les dijo que toda la informaci��n ya hab��a sido revelada en el informe de HackerOne. El vendedor pide al menos 30.000 d��lares por la base de datos, que ahora est�� disponible debido a "la incompetencia de Twitter", seg��n este.

La respuesta de Twitter

Hace unos d��as, el pasado 24 de julio, Twitter confirm�� que ��est�� investigando la situaci��n, pero no ha proporcionado m��s informaci��n por el momento��. Pero finalmente, el 5 de agosto, la compa?��a admiti�� que s��, aunque se?alan que no se filtraron contrase?as de ninguna clase. En un post en su blog oficial, Twitter se?ala lo siguiente:

"Queremos informarte de una vulnerabilidad que permit��a a alguien introducir un n��mero de tel��fono o una direcci��n de correo electr��nico en el flujo de inicio de sesi��n para intentar saber si esa informaci��n estaba vinculada a una cuenta de Twitter existente y, en ese caso, a qu�� cuenta concreta. Nos tomamos muy en serio nuestra responsabilidad de proteger tu privacidad y es lamentable que esto haya ocurrido. Aunque no hay ninguna medida que debas tomar espec��ficamente en relaci��n con este problema, queremos compartir m��s informaci��n sobre lo ocurrido, las medidas que hemos tomado y algunas pr��cticas recomendadas para mantener tu cuenta segura.

En enero de 2022, recibimos un informe a trav��s de nuestro programa de recompensas por errores de una vulnerabilidad en los sistemas de Twitter. Como resultado de la vulnerabilidad, si alguien enviaba una direcci��n de correo electr��nico o un n��mero de tel��fono a los sistemas de Twitter, estos le indicaban a la persona a qu�� cuenta de Twitter estaba asociada la direcci��n de correo electr��nico o el n��mero de tel��fono enviados, si es que hab��a alguna. Este fallo se produjo a ra��z de una actualizaci��n de nuestro c��digo en junio de 2021. Cuando nos enteramos de ello, lo investigamos inmediatamente y lo solucionamos. En ese momento, no ten��amos pruebas que sugirieran que alguien se hab��a aprovechado de la vulnerabilidad.

En julio de 2022, nos enteramos a trav��s de un informe de prensa de que alguien hab��a aprovechado potencialmente esto y estaba ofreciendo vender la informaci��n que hab��a recopilado. Tras revisar una muestra de los datos disponibles para la venta, confirmamos que un mal actor se hab��a aprovechado del problema antes de que se solucionara.

Vamos a notificar directamente a los propietarios de cuentas que podemos confirmar que se han visto afectados por este problema. Publicamos esta actualizaci��n porque no podemos confirmar todas las cuentas que se han visto potencialmente afectadas, y tenemos especialmente en cuenta a las personas con cuentas seud��nimas que pueden ser objetivo de agentes estatales o de otro tipo".