Una falla en el código de Twitter permitió a los actores de amenazas vincular cuentas con las direcciones de correo electrónico registradas en su contra, lo que podría exponer las identidades. (se abre en una pestaña nueva) de sus operadores, ha confirmado la red social.
A fines de la semana pasada, la compañía reveló la falla en un entrada en el blog (se abre en una pestaña nueva)en el que se disculpó por las molestias y explicó que el problema se solucionó tan pronto como se descubrió.
El exploit aprovechó la forma en que Twitter trató los intentos fallidos de inicio de sesión. Cuando alguien intentaba iniciar sesión con una dirección de correo electrónico o un número de teléfono, incluso si ingresaba la contraseña incorrecta, Twitter solía hacer dos cosas:
- Dile al usuario que envió la contraseña incorrecta
- Muestre el identificador de Twitter asociado con esa dirección de correo electrónico o número de teléfono (si existe)
Esto significaba que las personas que manejaban cuentas seudónimas podrían haber expuesto sus identidades.
Venta de datos en la dark web
La falla se detectó por primera vez a mediados de 2021. En ese momento, Twitter dijo que no podía encontrar ninguna evidencia de abuso. “Este error fue el resultado de una actualización de nuestro código en junio de 2021”, escribió la compañía.
Un año después, Twitter supo a través de un informe de prensa que alguien había compilado una lista de cuentas de usuarios con este método e intentó venderla.
Twitter se disculpó por las molestias, dijo que solucionó el problema tan pronto como se dio a conocer y dijo que notificará directamente a los propietarios de cuentas que se vieron afectados por este problema.
“Estamos publicando esta actualización porque no podemos confirmar todas las cuentas que se vieron potencialmente afectadas, y somos particularmente conscientes de las personas con cuentas seudónimas que pueden ser atacadas por el estado u otros actores”, agregó la compañía.
La plataforma de microblogging ha estado recibiendo mucha atención últimamente, desde que el excéntrico multimillonario Elon Musk dijo que tenía la intención de adquirirla. El futuro del acuerdo ahora se decidirá en el Tribunal de la Cancillería de Delaware, después de que Musk intentara retirarse, aparentemente debido al volumen de bots que operan en la plataforma.