Un usuario de la alternativa Spoutible a Twitter/X afirma que la compañía eliminó sus publicaciones después de presionar al CEO de Spoutible, Christopher Bouzy, para que fuera más honesto sobre la naturaleza de su reciente problema de seguridad. Las afirmaciones, que la compañía niega, son el último giro extraño en la saga de incidentes de seguridad que tuvo lugar la semana pasada en la startup.
La semana pasada, Bouzy reconoció una vulnerabilidad de seguridad que, según dijo, había expuesto los correos electrónicos y números de teléfono de los usuarios en su startup, posicionada como un Twitter más inclusivo y amable. Sin embargo, el investigador de seguridad Troy Hunt, creador del sitio web Have I Been Pwned, que permite a las personas comprobar si sus datos se vieron comprometidos en una violación de datos, descubrió que la API de desarrollador de Spoutible también estaba exponiendo información que los malos actores podrían haber utilizado para tomar sobre las cuentas de los usuarios sin que ellos lo sepan.
Hunt detalló sus hallazgos sobre ese cargo mucho más serio en su sitio web, señalando que la API Spoutible devolvió datos que incluyen el hash bcrypt de la contraseña de cualquier otro usuario, además de secretos 2FA (de dos factores) y el token que podría reutilizarse para restablecer la contraseña de un usuario. contraseña.
En resumen, esta vulnerabilidad era altamente explotable y podría haber permitido que un mal actor se hiciera cargo de la cuenta de un usuario sin que este lo supiera, como informó The Verge en ese momento. Hunt había sido alertado sobre este problema por un tercero que afirmó haber extraído datos del servicio de Spoutible. Como la cuenta de Have I Been Pwned confirmado en XSpoutible tenía 207.000 registros de usuario eliminados de su API mal configurada, incluidos «nombre, correo electrónico, nombre de usuario, teléfono, género, hash de contraseña de bcrypt, secreto 2FA y token de restablecimiento de contraseña».
En junio pasado, Spoutible tenía 240.000 usuarios registrados, por lo que la infracción afectó a una buena parte de la base de usuarios de la red social más pequeña.
El investigador de seguridad explicó que la vulnerabilidad podría haber sido explotada por malos actores, que habrían podido obtener una versión hash de las contraseñas de los usuarios. Aunque las contraseñas estaban protegidas mediante bcrypt, las contraseñas más cortas podrían haber sido más fáciles de adivinar y descifrar. Además, no se enviaría ninguna notificación por correo electrónico al titular de la cuenta sobre el cambio de contraseña, por lo que nunca habría sabido si su cuenta ya no estaba bajo su control, señaló Hunt.
Este tipo de cosas habría sido un problema para cualquier startup, pero particularmente para una en la que la base de usuarios está llena de usuarios pioneros que pueden simplemente haber probado Spoutible por un tiempo antes de pasar a otra alternativa de Twitter, dejando cuentas semiabandonadas listas para usar. la toma.
El director ejecutivo de Spoutible, Christopher Bouzy, confirmó la violación y la vulnerabilidad de los datos y la empresa exigió a los usuarios que crearan contraseñas nuevas y más seguras, después de abordar el problema. Sin embargo, también se refirió al descubrimiento de la vulnerabilidad como «un ataque» a su red y alegó que la persona que extrajo los datos era alguien que tenía la intención de dañar la reputación de Spoutible.
«Estamos… seguros de que la persona involucrada es el cabecilla que ha estado atacando a Spoutible durante un año», dijo Bouzy en una publicación, refiriéndose al notificador que envió a Hunt los registros eliminados.
En un correo electrónico con TechCrunch, Bouzy expuso sus ideas con más detalle, alegando que el grupo en línea conocido como «dudoso”, que surgió a principios del año pasado, estaba detrás del ataque. Doubtible tiene una cuenta de Twitter/X donde han “tuiteado diariamente falsedades sobre Spoutible, sobre mí y sobre miembros prominentes de nuestra comunidad”, dijo Bouzy. «Creemos firmemente que este grupo está detrás de la extracción no autorizada de nuestros datos», una acusación que Bouzy repitió en respuesta a una reseña en Trustpilot, donde también sugirió que estaba alertando al FBI sobre el asunto.
«Alguien no tiene que extraer más de 207.000 registros para revelar una vulnerabilidad», continuó Bouzy. “Sin embargo, al incluir también datos, los hace significativamente más interesantes. Si alguien pretende exponer una vulnerabilidad que manche la reputación de una empresa, el Sr. Hunt sería su contacto ideal. La razón detrás de su elección es clara: los tweets, la publicación del blog y el video de seguimiento del Sr. Hunt se alinean perfectamente con sus intenciones. La forma en que el señor Hunt sensacionalizó y retrató el incidente es exactamente lo que esperaban”, añadió en tono conspirativo.
Bouzy afirma que la vulnerabilidad de seguridad surgió porque alguien de su equipo utilizó una función destinada a la API de configuración del usuario con una función diseñada para la API pública, razón por la cual los correos electrónicos y números de teléfono cifrados quedaron expuestos en texto sin formato. Dijo que Spoutible ahora se ha asociado con una empresa de seguridad para revisar más a fondo sus sistemas, a la luz de este incidente.
Aún así, desde entonces varias personas han acusado a Bouzy de intentar restar importancia a la gravedad de la vulnerabilidad, incluido el periodista de datos Dan Nguyen, quien recientemente compartió la publicación del empresario tecnológico Anil Dash en Bluesky advirtiendo a los usuarios que «dejen de hablar». Otro usuario de Bluesky se refirió de manera colorida al vertido de datos de usuario por parte de Spoutible como algo similar a la «venganza de Moctezuma».
Aunque una filtración de datos ya es una mala imagen para una startup, ahora hay dudas sobre si la empresa está silenciando o no a sus críticos.
Un usuario de Spoutible, Mike Natale, acusó públicamente al director ejecutivo de eliminar sus publicaciones en la red social, donde había presionado a Bouzy para que fuera más transparente.
«Bouzy… borró todas mis publicaciones y borró mi muro», escribió Natale, en respuesta a otro usuario de Bluesky.
Créditos de imagen: Mike Natale en Bluesky (Se abre en una nueva ventana)
En otra respuesta, Natale explicó que Bouzy inicialmente había vuelto a publicar sus publicaciones en Spoutible para comentar sobre el asunto, pero luego eliminó todas las publicaciones de Natale cuando rechazó «la narrativa de que esto era un ataque» y «que otras compañías han tenido la mismos defectos”.
Las publicaciones que faltan no incluyen la etiqueta habitual que indica su eliminación. En Spoutible, las publicaciones que se eliminan tienen adjunta una nota del sistema que dice «@usuario eliminó esta respuesta». Por ejemplo, si Bouzy hubiera eliminado la respuesta, habría leído «@bouzy eliminó esta respuesta».
Pero en este caso, Natale dijo en comentarios en Bluesky que las publicaciones simplemente desaparecieron y su feed principal de Spoutible ni siquiera se carga.
La cuenta Twitter/X Doubtible también publicó sobre las afirmaciones de Natale. Natale respondió a una solicitud de comentarios de TechCrunch diciendo que alguien le había alertado sobre la eliminación de sus publicaciones después del intercambio con Bouzy.
«Spoutible hizo algo en mi cuenta inmediatamente después de que lo rechacé por considerar el trabajo de Troy como parte de algún tipo de ataque», dijo. Bouzy lo había “resoptado” varias veces y Natale publicó algunas publicaciones más tratando de explicar más. “En algún momento después, en otra plataforma, alguien me preguntó si había eliminado mis publicaciones. No lo había hecho, así que volví a Spoutible. Mi muro realmente no se carga, todas mis publicaciones desaparecieron (excepto una o dos), así que abrí un ticket”, dijo Natale.
Mientras tanto, el director ejecutivo de Spoutible, Christopher Bouzy, niega haber eliminado las publicaciones de Natale.
“Con respecto al problema con la usuaria Natale, no eliminamos sus publicaciones ni su cuenta. Es posible que los usuarios eliminen su propio contenido y luego nos acusen falsamente”, dijo, sugiriendo nuevamente una conspiración. «La acusación es infundada y no merece mayor discusión», concluyó.
El incidente en Spoutible recuerda a otra empresa más pequeña, Hive, que también experimentó un importante problema de seguridad después de verse inundada de usuarios de Twitter poco después de la adquisición de Elon Musk. En ese caso, la startup cerró completamente su aplicación para corregir las fallas críticas antes de regresar a la tienda de aplicaciones. Hive logró capear la tormenta y finalmente regresar, pero ya no se lo considera una amenaza para Twitter después de perder la oportunidad.
Actualizado el 13/02/24 a las 7:30 am con el comentario de Natalie.
También está por verse si la reputación de Spoutible se recuperará de esta mancha.