La API de Twitter una vez tuvo una falla tan fácil de explotar que los piratas informáticos lograron obtener 5,4 millones de detalles de usuario. Ahora, según informes y menciones de usuarios en foros de hackers, hay varios millones más de puntos de datos de usuarios flotando en Internet.
BleepingEquipo informó el lunes que los 5,4 millones de registros de usuarios que contienen contraseñas, números de teléfono, correos electrónicos y más pueden haber sido solo la punta del iceberg de una brecha mucho mayor en los datos de la empresa. Los datos se extrajeron originalmente de Twitter utilizando una falla en la interfaz de programación de aplicaciones (API) de la plataforma, pero ahora se comparten abiertamente en línea. Como resumió a principios de este año por hackerunolos piratas informáticos descubrieron que había una manera de permitir que cualquier persona obtuviera la ID de Twitter de un usuario al enviar su número de teléfono o correo electrónico al sistema, incluso si el usuario había desactivado esa opción en su cuenta.
Gorjeo salió limpio sobre el exploit original en su API y la violación de millones de ID de usuario. En ese momento, la plataforma dijo que estaba notificando a los usuarios que podían confirmar que se vieron afectados por la violación de datos. pero señaló investigador antifascista y experto en seguridad Chad Loder incluido alguna prueba de un robo de datos adicional en su perfil mastadon en Noviembre 25. Loder dijo 9to5Mac la semana pasada que parecía haber «múltiples actores de amenazas, operando de forma independiente» tomando datos del Reino Unido, algunas naciones de la UE y algunas partes de los EE. UU., principalmente desde finales de 2021. Ese segundo conjunto de datos podría incluir alrededor de 1,4 millones de perfiles más.
Un hilo publicado en BreachForums, también conocido como Breached, compartió la semana pasada los 5,4 millones de puntos de datos originales de forma gratuita y, al momento de informar, ese hilo del foro todavía está en funcionamiento. Gizmodo no pudo confirmar la autenticidad de los datos, aunque el hilo del foro señaló que los 1,4 millones adicionales de cuentas suspendidas aún pueden estar difundiéndose solo en círculos privados.
Aunque todavía hay dudas sobre cuántas de esas cuentas incluyen información nueva. LeakCheck, un verificador de contraseñas de seguridad cibernética, señaló en ese mismo hilo del foro que tal vez solo el 12% de esos correos electrónicos encontrados en los más de 500 GB de datos eran nuevos, es decir, que no se habían encontrado en filtraciones anteriores.
Gizmodo contactó a LeakCheck para confirmarlo, pero no recibimos respuesta de inmediato.
Así que eso es hasta 7 millones de usuarios o antiguos usuarios que pueden tener la información de su cuenta dando vueltas. las internets BleepingComputer también dijo que se había puesto en contacto con el usuario que se hace llamar Pompompurin, el propietario de Breached, quien afirmó ser el pirata informático original que explotó Twitter a fines del año pasado. Se suponía que los 1,4 millones de registros no serían públicos, según Pompompurin, aunque parece que se han filtrado de todos modos. BleepingComputer señaló que los datos podrían consistir en más de 17 millones de registros de usuarios, mucho más de lo que se informó originalmente, aunque el número completo no se ha identificado legítimamente.
Los piratas informáticos en el foro de piratas informáticos de Breached habían publicado originalmente esos datos por $ 30 millones, pero este informe más reciente ahora dice que los datos están disponibles en línea de forma gratuita. BleepingEquipo señalado obtuvo acceso a una porción de 1,37 millones de los registros filtrados de usuarios en Francia. Desde entonces, ha confirmado con al menos algunos de los usuarios enumerados en la filtración que sus números eran válidos. Podría haber incluso más números de teléfono en la lista más reciente en comparación con lo que se mostró a principios de este año.
Aunque Twitter tiene más de 200 millones de usuarios activos diarios (a pesar de que el CEO Elon Musk está afirmando excesivamente que esos usuarios están en aumento) una violación de 17 millones sería una de las mayores violaciones de datos de usuarios, aunque no la más grande de ninguna manera. Un hacker robó previamente 100 millones de instancias de información de usuario de CapitalOne, y el hacker responsable fue sentenciado a cinco años de libertad condicional. LinkedIn se ha ocupado 500 millones de perfiles de usuario raspados de sus sistemas. La empresa de transporte compartido Uber ha sufrido importantes ataques a los datos de los usuarios dos veces, una en 2016 y otra hace solo unos meses.
Gizmodo se acercó a Twitter pero en la era de Musk y el aparente final del equipo de prensa de Twitter, no hemos tenido noticias de la empresa en semanas.