{"id":1007422,"date":"2024-02-13T14:45:14","date_gmt":"2024-02-13T14:45:14","guid":{"rendered":"https:\/\/magazineoffice.com\/el-rival-de-twitter-spoutible-alega-una-campana-de-difamacion-en-medio-de-una-controversia-sobre-violaciones-de-seguridad\/"},"modified":"2024-02-13T14:45:17","modified_gmt":"2024-02-13T14:45:17","slug":"el-rival-de-twitter-spoutible-alega-una-campana-de-difamacion-en-medio-de-una-controversia-sobre-violaciones-de-seguridad","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/el-rival-de-twitter-spoutible-alega-una-campana-de-difamacion-en-medio-de-una-controversia-sobre-violaciones-de-seguridad\/","title":{"rendered":"El rival de Twitter, Spoutible, alega una campa\u00f1a de difamaci\u00f3n en medio de una controversia sobre violaciones de seguridad"},"content":{"rendered":"


\n<\/p>\n

\n

Un usuario de la alternativa Spoutible a Twitter\/X afirma que la compa\u00f1\u00eda elimin\u00f3 sus publicaciones despu\u00e9s de presionar al CEO de Spoutible, Christopher Bouzy, para que fuera m\u00e1s honesto sobre la naturaleza de su reciente problema de seguridad. Las afirmaciones, que la compa\u00f1\u00eda niega, son el \u00faltimo giro extra\u00f1o en la saga de incidentes de seguridad que tuvo lugar la semana pasada en la startup.<\/p>\n

La semana pasada, Bouzy reconoci\u00f3 una vulnerabilidad de seguridad que, seg\u00fan dijo, hab\u00eda expuesto los correos electr\u00f3nicos y n\u00fameros de tel\u00e9fono de los usuarios en su startup, posicionada como un Twitter m\u00e1s inclusivo y amable. Sin embargo, el investigador de seguridad Troy Hunt, creador del sitio web Have I Been Pwned, que permite a las personas comprobar si sus datos se vieron comprometidos en una violaci\u00f3n de datos, descubri\u00f3 que la API de desarrollador de Spoutible tambi\u00e9n estaba exponiendo informaci\u00f3n que los malos actores podr\u00edan haber utilizado para tomar sobre las cuentas de los usuarios sin que ellos lo sepan.<\/p>\n

Hunt detall\u00f3 sus hallazgos sobre ese cargo mucho m\u00e1s serio en su sitio web, se\u00f1alando que la API Spoutible devolvi\u00f3 datos que incluyen el hash bcrypt de la contrase\u00f1a de cualquier otro usuario, adem\u00e1s de secretos 2FA (de dos factores) y el token que podr\u00eda reutilizarse para restablecer la contrase\u00f1a de un usuario. contrase\u00f1a.<\/p>\n

En resumen, esta vulnerabilidad era altamente explotable y podr\u00eda haber permitido que un mal actor se hiciera cargo de la cuenta de un usuario sin que este lo supiera, como inform\u00f3 The Verge en ese momento. Hunt hab\u00eda sido alertado sobre este problema por un tercero que afirm\u00f3 haber extra\u00eddo datos del servicio de Spoutible. Como la cuenta de Have I Been Pwned confirmado en X<\/a>Spoutible ten\u00eda 207.000 registros de usuario eliminados de su API mal configurada, incluidos \u00abnombre, correo electr\u00f3nico, nombre de usuario, tel\u00e9fono, g\u00e9nero, hash de contrase\u00f1a de bcrypt, secreto 2FA y token de restablecimiento de contrase\u00f1a\u00bb.<\/p>\n

En junio pasado, Spoutible ten\u00eda 240.000 usuarios registrados, por lo que la infracci\u00f3n afect\u00f3 a una buena parte de la base de usuarios de la red social m\u00e1s peque\u00f1a.<\/p>\n

El investigador de seguridad explic\u00f3 que la vulnerabilidad podr\u00eda haber sido explotada por malos actores, que habr\u00edan podido obtener una versi\u00f3n hash de las contrase\u00f1as de los usuarios. Aunque las contrase\u00f1as estaban protegidas mediante bcrypt, las contrase\u00f1as m\u00e1s cortas podr\u00edan haber sido m\u00e1s f\u00e1ciles de adivinar y descifrar. Adem\u00e1s, no se enviar\u00eda ninguna notificaci\u00f3n por correo electr\u00f3nico al titular de la cuenta sobre el cambio de contrase\u00f1a, por lo que nunca habr\u00eda sabido si su cuenta ya no estaba bajo su control, se\u00f1al\u00f3 Hunt.<\/p>\n

Este tipo de cosas habr\u00eda sido un problema para cualquier startup, pero particularmente para una en la que la base de usuarios est\u00e1 llena de usuarios pioneros que pueden simplemente haber probado Spoutible por un tiempo antes de pasar a otra alternativa de Twitter, dejando cuentas semiabandonadas listas para usar. la toma.<\/p>\n

\n
\n

Nueva infracci\u00f3n: a Spoutible se le extrajeron 207.000 registros de una API mal configurada, incluidos nombre, correo electr\u00f3nico, nombre de usuario, tel\u00e9fono, sexo, hash de contrase\u00f1a de bcrypt, secreto 2FA y token de restablecimiento de contrase\u00f1a. El 74% ya estaba en @haveibeenpwned<\/a>. Leer m\u00e1s: https:\/\/t.co\/Nz8tJ38INu<\/p>\n

– \u00bfMe han enga\u00f1ado (@haveibeenpwned) 5 de febrero de 2024<\/a><\/p>\n<\/blockquote>\n<\/div>\n

El director ejecutivo de Spoutible, Christopher Bouzy, confirm\u00f3 la violaci\u00f3n y la vulnerabilidad de los datos y la empresa exigi\u00f3 a los usuarios que crearan contrase\u00f1as nuevas y m\u00e1s seguras, despu\u00e9s de abordar el problema. Sin embargo, tambi\u00e9n se refiri\u00f3 al descubrimiento de la vulnerabilidad como \u00abun ataque\u00bb a su red y aleg\u00f3 que la persona que extrajo los datos era alguien que ten\u00eda la intenci\u00f3n de da\u00f1ar la reputaci\u00f3n de Spoutible.<\/p>\n

\u00abEstamos… seguros de que la persona involucrada es el cabecilla que ha estado atacando a Spoutible durante un a\u00f1o\u00bb, dijo Bouzy en una publicaci\u00f3n, refiri\u00e9ndose al notificador que envi\u00f3 a Hunt los registros eliminados.<\/p>\n

En un correo electr\u00f3nico con TechCrunch, Bouzy expuso sus ideas con m\u00e1s detalle, alegando que el grupo en l\u00ednea conocido como \u00abdudoso<\/a>\u201d, que surgi\u00f3 a principios del a\u00f1o pasado, estaba detr\u00e1s del ataque. Doubtible tiene una cuenta de Twitter\/X donde han \u201ctuiteado diariamente falsedades sobre Spoutible, sobre m\u00ed y sobre miembros prominentes de nuestra comunidad\u201d, dijo Bouzy. \u00abCreemos firmemente que este grupo est\u00e1 detr\u00e1s de la extracci\u00f3n no autorizada de nuestros datos\u00bb, una acusaci\u00f3n que Bouzy repiti\u00f3 en respuesta a una rese\u00f1a en Trustpilot, donde tambi\u00e9n sugiri\u00f3 que estaba alertando al FBI sobre el asunto.<\/p>\n

\u00abAlguien no tiene que extraer m\u00e1s de 207.000 registros para revelar una vulnerabilidad\u00bb, continu\u00f3 Bouzy. \u201cSin embargo, al incluir tambi\u00e9n datos, los hace significativamente m\u00e1s interesantes. Si alguien pretende exponer una vulnerabilidad que manche la reputaci\u00f3n de una empresa, el Sr. Hunt ser\u00eda su contacto ideal. La raz\u00f3n detr\u00e1s de su elecci\u00f3n es clara: los tweets, la publicaci\u00f3n del blog y el video de seguimiento del Sr. Hunt se alinean perfectamente con sus intenciones. La forma en que el se\u00f1or Hunt sensacionaliz\u00f3 y retrat\u00f3 el incidente es exactamente lo que esperaban\u201d, a\u00f1adi\u00f3 en tono conspirativo.<\/p>\n

Bouzy afirma que la vulnerabilidad de seguridad surgi\u00f3 porque alguien de su equipo utiliz\u00f3 una funci\u00f3n destinada a la API de configuraci\u00f3n del usuario con una funci\u00f3n dise\u00f1ada para la API p\u00fablica, raz\u00f3n por la cual los correos electr\u00f3nicos y n\u00fameros de tel\u00e9fono cifrados quedaron expuestos en texto sin formato. Dijo que Spoutible ahora se ha asociado con una empresa de seguridad para revisar m\u00e1s a fondo sus sistemas, a la luz de este incidente.<\/p>\n

A\u00fan as\u00ed, desde entonces varias personas han acusado a Bouzy de intentar restar importancia a la gravedad de la vulnerabilidad, incluido el periodista de datos Dan Nguyen, quien recientemente comparti\u00f3 la publicaci\u00f3n del empresario tecnol\u00f3gico Anil Dash en Bluesky advirtiendo a los usuarios que \u00abdejen de hablar\u00bb. Otro usuario de Bluesky se refiri\u00f3 de manera colorida al vertido de datos de usuario por parte de Spoutible como algo similar a la \u00abvenganza de Moctezuma\u00bb.<\/p>\n

Aunque una filtraci\u00f3n de datos ya es una mala imagen para una startup, ahora hay dudas sobre si la empresa est\u00e1 silenciando o no a sus cr\u00edticos.<\/p>\n

Un usuario de Spoutible, Mike Natale, acus\u00f3 p\u00fablicamente al director ejecutivo de eliminar sus publicaciones en la red social, donde hab\u00eda presionado a Bouzy para que fuera m\u00e1s transparente.<\/p>\n

\u00abBouzy… borr\u00f3 todas mis publicaciones y borr\u00f3 mi muro\u00bb, escribi\u00f3 Natale, en respuesta a otro usuario de Bluesky.<\/p>\n

\n

Cr\u00e9ditos de imagen:<\/strong> Mike Natale en Bluesky (Se abre en una nueva ventana)<\/span><\/p>\n<\/div>\n

En otra respuesta, Natale explic\u00f3 que Bouzy inicialmente hab\u00eda vuelto a publicar sus publicaciones en Spoutible para comentar sobre el asunto, pero luego elimin\u00f3 todas las publicaciones de Natale cuando rechaz\u00f3 \u00abla narrativa de que esto era un ataque\u00bb y \u00abque otras compa\u00f1\u00edas han tenido la mismos defectos\u201d.<\/p>\n

Las publicaciones que faltan no incluyen la etiqueta habitual que indica su eliminaci\u00f3n. En Spoutible, las publicaciones que se eliminan tienen adjunta una nota del sistema que dice \u00ab@usuario elimin\u00f3 esta respuesta\u00bb. Por ejemplo, si Bouzy hubiera eliminado la respuesta, habr\u00eda le\u00eddo \u00ab@bouzy elimin\u00f3 esta respuesta\u00bb.<\/p>\n

Pero en este caso, Natale dijo en comentarios en Bluesky que las publicaciones simplemente desaparecieron y su feed principal de Spoutible ni siquiera se carga.<\/p>\n

La cuenta Twitter\/X Doubtible tambi\u00e9n public\u00f3 sobre las afirmaciones de Natale. <\/a>Natale respondi\u00f3 a una solicitud de comentarios de TechCrunch diciendo que alguien le hab\u00eda alertado sobre la eliminaci\u00f3n de sus publicaciones despu\u00e9s del intercambio con Bouzy.<\/p>\n

\u00abSpoutible hizo algo en mi cuenta inmediatamente despu\u00e9s de que lo rechac\u00e9 por considerar el trabajo de Troy como parte de alg\u00fan tipo de ataque\u00bb, dijo. Bouzy lo hab\u00eda \u201cresoptado\u201d varias veces y Natale public\u00f3 algunas publicaciones m\u00e1s tratando de explicar m\u00e1s. \u201cEn alg\u00fan momento despu\u00e9s, en otra plataforma, alguien me pregunt\u00f3 si hab\u00eda eliminado mis publicaciones. No lo hab\u00eda hecho, as\u00ed que volv\u00ed a Spoutible. Mi muro realmente no se carga, todas mis publicaciones desaparecieron (excepto una o dos), as\u00ed que abr\u00ed un ticket\u201d, dijo Natale.<\/p>\n

\n
\n

#esputible<\/a>El CEO de parece estar en pleno modo de control de da\u00f1os, eliminando todos los comentarios cr\u00edticos (aparentemente manualmente) y suspendiendo cuentas que desaf\u00eden su narrativa. Por ejemplo, Mike Natale, alguien que trabaj\u00f3 en seguridad de la informaci\u00f3n, a quien se le eliminaron manualmente las respuestas de la plataforma. pic.twitter.com\/wrAPx45KuT<\/a><\/p>\n

– Dudoso (@dudoso) 7 de febrero de 2024<\/a><\/p>\n<\/blockquote>\n<\/div>\n

Mientras tanto, el director ejecutivo de Spoutible, Christopher Bouzy, niega haber eliminado las publicaciones de Natale.<\/p>\n

\u201cCon respecto al problema con la usuaria Natale, no eliminamos sus publicaciones ni su cuenta. Es posible que los usuarios eliminen su propio contenido y luego nos acusen falsamente\u201d, dijo, sugiriendo nuevamente una conspiraci\u00f3n. \u00abLa acusaci\u00f3n es infundada y no merece mayor discusi\u00f3n\u00bb, concluy\u00f3.<\/p>\n

El incidente en Spoutible recuerda a otra empresa m\u00e1s peque\u00f1a, Hive, que tambi\u00e9n experiment\u00f3 un importante problema de seguridad despu\u00e9s de verse inundada de usuarios de Twitter poco despu\u00e9s de la adquisici\u00f3n de Elon Musk. En ese caso, la startup cerr\u00f3 completamente su aplicaci\u00f3n para corregir las fallas cr\u00edticas antes de regresar a la tienda de aplicaciones. Hive logr\u00f3 capear la tormenta y finalmente regresar, pero ya no se lo considera una amenaza para Twitter despu\u00e9s de perder la oportunidad.<\/p>\n

Actualizado el 13\/02\/24 a las 7:30 am con el comentario de Natalie.<\/em><\/p>\n

Tambi\u00e9n est\u00e1 por verse si la reputaci\u00f3n de Spoutible se recuperar\u00e1 de esta mancha.<\/p>\n<\/p><\/div>\n