Twitter ha confirmado que alguien explotó una vulnerabilidad de día cero para acceder a los datos del usuario.
La empresa dice(Se abre en una nueva ventana) en una publicación de blog sobre el incidente que la vulnerabilidad en cuestión «permitió que alguien ingresara un número de teléfono o una dirección de correo electrónico en el flujo de inicio de sesión en un intento de saber si esa información estaba vinculada a una cuenta de Twitter existente y, de ser así, cuál». cuenta específica».
Twitter dice que la falla se introdujo en una actualización de junio de 2021, revelada(Se abre en una nueva ventana) por un investigador de seguridad en enero, y luego parcheado más tarde ese mes. «En ese momento», dice la compañía, «no teníamos evidencia que sugiriera que alguien se había aprovechado de la vulnerabilidad».
Ahora eso ha cambiado. BleepingInformes de la computadora(Se abre en una nueva ventana) que alguien explotó esta vulnerabilidad para recopilar información sobre 5,4 millones de cuentas de Twitter, incluido el número de teléfono o la dirección de correo electrónico descubierta a través de esta falla, así como los datos disponibles públicamente, antes de que se corrigiera.
Twitter dice que «se enteró a través de un informe de prensa de que alguien potencialmente había aprovechado esto y estaba ofreciendo vender la información que habían recopilado» en julio. Luego, la empresa revisó una parte de los datos vendidos y confirmó que eran legítimos.
«Notificaremos directamente a los propietarios de las cuentas que podamos confirmar que se vieron afectados por este problema», dice Twitter. «Estamos publicando esta actualización porque no podemos confirmar todas las cuentas que se vieron potencialmente afectadas, y somos particularmente conscientes de las personas con cuentas seudónimas que pueden ser atacadas por el estado u otros actores».
Recomendado por Nuestros Editores
Twitter recomienda oficialmente «no agregar un número de teléfono o dirección de correo electrónico conocidos públicamente a su cuenta de Twitter» si está usando un seudónimo. Sin embargo, ese consejo no se puede aplicar retroactivamente y Twitter empuja regularmente a los usuarios(Se abre en una nueva ventana) para conectar sus números de teléfono a sus cuentas.
Twitter no respondió de inmediato a una solicitud de comentarios.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.