Despu\u00e9s de informes en<\/span> a fines de 2022 que los piratas inform\u00e1ticos vend\u00edan datos robados de 400 millones de usuarios de Twitter, los investigadores ahora dicen que un tesoro de direcciones de correo electr\u00f3nico ampliamente difundido vinculado a unos 200 millones de usuarios es probablemente una versi\u00f3n refinada del tesoro m\u00e1s grande con entradas duplicadas eliminadas. La red social a\u00fan no ha comentado sobre la exposici\u00f3n masiva, pero el cach\u00e9 de datos aclara la gravedad de la filtraci\u00f3n y qui\u00e9n puede estar en mayor riesgo como resultado de ella.<\/p>\nDesde junio de 2021 hasta enero de 2022, hubo un error en una interfaz de programaci\u00f3n de aplicaciones de Twitter, o API, que permit\u00eda a los atacantes enviar informaci\u00f3n de contacto como direcciones de correo electr\u00f3nico y recibir a cambio la cuenta de Twitter asociada, si la hubiera. Antes de que se parcheara, los atacantes explotaron la falla para \u00abraspar\u00bb los datos de la red social. Y aunque el error no permiti\u00f3 que los piratas inform\u00e1ticos accedieran a contrase\u00f1as u otra informaci\u00f3n confidencial como mensajes directos, expuso la conexi\u00f3n entre las cuentas de Twitter, que a menudo son seud\u00f3nimas, y las direcciones de correo electr\u00f3nico y los n\u00fameros de tel\u00e9fono vinculados a ellas, lo que podr\u00eda identificar a los usuarios.<\/p>\n
Mientras estaba en vivo, la vulnerabilidad aparentemente fue explotada por m\u00faltiples actores para construir diferentes colecciones de datos. Uno que ha estado circulando en foros criminales desde el verano inclu\u00eda las direcciones de correo electr\u00f3nico y los n\u00fameros de tel\u00e9fono de unos 5,4 millones de usuarios de Twitter. El enorme tesoro reci\u00e9n descubierto parece contener solo direcciones de correo electr\u00f3nico. Sin embargo, la circulaci\u00f3n generalizada de los datos crea el riesgo de que provoque ataques de phishing, intentos de robo de identidad y otros ataques individuales.<\/p>\n
Twitter no respondi\u00f3 a las solicitudes de comentarios de WIRED. La empresa escribi\u00f3<\/a> sobre la vulnerabilidad de la API en una divulgaci\u00f3n de agosto: \u201cCuando nos enteramos de esto, inmediatamente investigamos y lo arreglamos. En ese momento, no ten\u00edamos evidencia que sugiriera que alguien se hab\u00eda aprovechado de la vulnerabilidad\u201d. Aparentemente, la telemetr\u00eda de Twitter fue insuficiente para detectar el raspado malicioso.<\/p>\nTwitter est\u00e1 lejos de ser la primera plataforma en exponer datos para el raspado masivo a trav\u00e9s de una falla de API, y es com\u00fan en tales escenarios que haya confusi\u00f3n sobre cu\u00e1ntos tesoros de datos distintos existen realmente como resultado de una explotaci\u00f3n maliciosa. Sin embargo, estos incidentes siguen siendo significativos porque agregan m\u00e1s conexiones y validaci\u00f3n al cuerpo masivo de datos robados que ya existe en el ecosistema criminal sobre los usuarios.<\/p>\n
\u201cObviamente, hay varias personas que conoc\u00edan esta vulnerabilidad de API y varias personas que la eliminaron. \u00bfDiferentes personas rasparon cosas diferentes? \u00bfCu\u00e1ntos tesoros hay? En cierto modo no importa\u201d, dice Troy Hunt, fundador del sitio de seguimiento de infracciones HaveIBeenPwned. Hunt ingiri\u00f3 el conjunto de datos de Twitter en HaveIBeenPwned y dice que representaba informaci\u00f3n sobre m\u00e1s de 200 millones de cuentas. El noventa y ocho por ciento de las direcciones de correo electr\u00f3nico ya hab\u00edan sido expuestas en infracciones anteriores registradas por HaveIBeenPwned. Y Hunt dice que envi\u00f3 correos electr\u00f3nicos de notificaci\u00f3n a casi 1.064.000 de los 4.400.000 millones de suscriptores de correo electr\u00f3nico de su servicio.<\/p>\n
\u201cEs la primera vez que env\u00edo un correo electr\u00f3nico de siete cifras\u201d, dice. \u201cCasi una cuarta parte de todo mi corpus de suscriptores es realmente significativo. Pero debido a que gran parte de esto ya estaba disponible, no creo que este sea un incidente que tenga una cola larga en t\u00e9rminos de impacto. Pero puede quitar el anonimato a las personas. Lo que m\u00e1s me preocupa son las personas que quer\u00edan mantener su privacidad\u201d.<\/p>\n<\/div>\n