Después de informes en a fines de 2022 que los piratas informáticos vendían datos robados de 400 millones de usuarios de Twitter, los investigadores ahora dicen que un tesoro de direcciones de correo electrónico ampliamente difundido vinculado a unos 200 millones de usuarios es probablemente una versión refinada del tesoro más grande con entradas duplicadas eliminadas. La red social aún no ha comentado sobre la exposición masiva, pero el caché de datos aclara la gravedad de la filtración y quién puede estar en mayor riesgo como resultado de ella.
Desde junio de 2021 hasta enero de 2022, hubo un error en una interfaz de programación de aplicaciones de Twitter, o API, que permitía a los atacantes enviar información de contacto como direcciones de correo electrónico y recibir a cambio la cuenta de Twitter asociada, si la hubiera. Antes de que se parcheara, los atacantes explotaron la falla para «raspar» los datos de la red social. Y aunque el error no permitió que los piratas informáticos accedieran a contraseñas u otra información confidencial como mensajes directos, expuso la conexión entre las cuentas de Twitter, que a menudo son seudónimas, y las direcciones de correo electrónico y los números de teléfono vinculados a ellas, lo que podría identificar a los usuarios.
Mientras estaba en vivo, la vulnerabilidad aparentemente fue explotada por múltiples actores para construir diferentes colecciones de datos. Uno que ha estado circulando en foros criminales desde el verano incluía las direcciones de correo electrónico y los números de teléfono de unos 5,4 millones de usuarios de Twitter. El enorme tesoro recién descubierto parece contener solo direcciones de correo electrónico. Sin embargo, la circulación generalizada de los datos crea el riesgo de que provoque ataques de phishing, intentos de robo de identidad y otros ataques individuales.
Twitter no respondió a las solicitudes de comentarios de WIRED. La empresa escribió sobre la vulnerabilidad de la API en una divulgación de agosto: “Cuando nos enteramos de esto, inmediatamente investigamos y lo arreglamos. En ese momento, no teníamos evidencia que sugiriera que alguien se había aprovechado de la vulnerabilidad”. Aparentemente, la telemetría de Twitter fue insuficiente para detectar el raspado malicioso.
Twitter está lejos de ser la primera plataforma en exponer datos para el raspado masivo a través de una falla de API, y es común en tales escenarios que haya confusión sobre cuántos tesoros de datos distintos existen realmente como resultado de una explotación maliciosa. Sin embargo, estos incidentes siguen siendo significativos porque agregan más conexiones y validación al cuerpo masivo de datos robados que ya existe en el ecosistema criminal sobre los usuarios.
“Obviamente, hay varias personas que conocían esta vulnerabilidad de API y varias personas que la eliminaron. ¿Diferentes personas rasparon cosas diferentes? ¿Cuántos tesoros hay? En cierto modo no importa”, dice Troy Hunt, fundador del sitio de seguimiento de infracciones HaveIBeenPwned. Hunt ingirió el conjunto de datos de Twitter en HaveIBeenPwned y dice que representaba información sobre más de 200 millones de cuentas. El noventa y ocho por ciento de las direcciones de correo electrónico ya habían sido expuestas en infracciones anteriores registradas por HaveIBeenPwned. Y Hunt dice que envió correos electrónicos de notificación a casi 1.064.000 de los 4.400.000 millones de suscriptores de correo electrónico de su servicio.
“Es la primera vez que envío un correo electrónico de siete cifras”, dice. “Casi una cuarta parte de todo mi corpus de suscriptores es realmente significativo. Pero debido a que gran parte de esto ya estaba disponible, no creo que este sea un incidente que tenga una cola larga en términos de impacto. Pero puede quitar el anonimato a las personas. Lo que más me preocupa son las personas que querían mantener su privacidad”.