Twitter dice que solucionó una vulnerabilidad de seguridad que permitía a los actores de amenazas recopilar información de 5,4 millones de cuentas de Twitter, que estaban a la venta en un conocido foro de ciberdelincuencia.
La vulnerabilidad permitía que cualquier persona ingresara un número de teléfono o una dirección de correo electrónico de un usuario conocido y supiera si estaba vinculado a una cuenta de Twitter existente, lo que podría exponer las identidades de las cuentas seudónimas.
en un breve declaración publicado el viernes, dijo el gigante de microblogging, «si alguien envió una dirección de correo electrónico o un número de teléfono a los sistemas de Twitter, los sistemas de Twitter le dirían a la persona con qué cuenta de Twitter se asoció la dirección de correo electrónico o el número de teléfono enviado, si corresponde».
Twitter dijo que arregló el error en enero, seis meses después de que el error se introdujera inicialmente en su base de código, luego de un informe de recompensas por errores de un investigador de seguridad, a quien se le otorgó $ 6,000 por revelar la vulnerabilidad.
Según el informe de recompensas por errores, la vulnerabilidad representaba una «seria amenaza» para los usuarios que tienen cuentas privadas o seudónimas, y podría usarse para «crear una base de datos» o enumerar «una gran parte de la base de usuarios de Twitter». Es similar a una vulnerabilidad descubierta a finales de 2019 que permitió a un investigador de seguridad relacionar 17 millones de números de teléfono con cuentas de Twitter.
Pero la advertencia del investigador llegó demasiado tarde. Los piratas informáticos ya habían explotado la vulnerabilidad durante ese período de seis meses para crear una base de datos de direcciones de correo electrónico y números de teléfono de 5,4 millones de cuentas de Twitter.
Twitter dijo que se enteró de la explotación de un informe de prensa no especificado en julio, que encontró una lista en un foro de ciberdelincuencia que afirmaba tener datos de usuarios «desde celebridades hasta empresas» y OG, refiriéndose a redes sociales y juegos personalizados o muy buscados. nombres de usuario
“Después de revisar una muestra de los datos disponibles para la venta, confirmamos que un mal actor se había aprovechado del problema antes de que se abordara”, dijo Twitter. «Notificaremos directamente a los propietarios de las cuentas que podamos confirmar que se vieron afectados por este problema».
Es el último incidente de seguridad en Twitter en los últimos años. En mayo, Twitter acordó pagar 150 millones de dólares en un acuerdo con la Comisión Federal de Comercio después de que la empresa usara indebidamente los números de teléfono y las direcciones de correo electrónico que los usuarios enviaron para configurar la autenticación de dos factores para la publicidad dirigida.