Brecha de datos de Twitter: 5.4 millones de usuarios expuestos

Más de 5.4 millones de registros de usuarios de Twitter -que contienen información privada- fue robada mediante una vulnerabilidad de API solucionada en enero de este año. Un investigador de seguridad también reveló otro volcado de datos masivo, potencialmente más significativo, de millones de registros de Twitter, lo que demuestra cuán ampliamente abusaron de este […]

Más de 5.4 millones de registros de usuarios de Twitter -que contienen información privada- fue robada mediante una vulnerabilidad de API solucionada en enero de este año.

Un investigador de seguridad también reveló otro volcado de datos masivo, potencialmente más significativo, de millones de registros de Twitter, lo que demuestra cuán ampliamente abusaron de este error los actores de amenazas.

Los datos consisten en información pública recopilada, así como números de teléfono privados y direcciones de correo electrónico que no deben ser públicas.

La brecha de datos de Twitter

En julio pasado, un actor de amenazas comenzó a vender la información privada de más de 5.4 millones de usuarios de Twitter en un foro de piratería por 30.000 dólares.

Si bien la mayoría de los datos consistía en información pública, como ID de Twitter, nombres, nombres de inicio de sesión, ubicaciones y estado verificado, también incluía información privada, como números de teléfono y direcciones de correo electrónico.

Vía BleepingComputer

Estos datos se recopilaron en diciembre de 2021 mediante una vulnerabilidad de la API de Twitter, revelada en el programa de recompensas por errores de HackerOne que permitía a las personas enviar números de teléfono y direcciones de correo electrónico a la API para recuperar la ID de Twitter asociada.

Usando esta identificación, los actores de la amenaza podrían extraer información pública sobre la cuenta para crear un registro de usuario que contenga información pública y privada.

Después de que BleepingComputer compartiera una muestra de los registros de usuarios con Twitter, la empresa de redes sociales confirmó que había sufrido una violación de datos mediante un error de API solucionado en enero de 2022.

Pompompurin, el propietario del foro de piratería Breached, le dijo a BleepingComputer este fin de semana que ellos eran los responsables de explotar el error y crear el volcado masivo de registros de usuarios de la red social después de que otro actor de amenazas conocido como ‘Devil’ compartiera la vulnerabilidad con ellos.

Además de los 5.4 millones de registros a la venta, también hubo 1,4 millones de perfiles de Twitter adicionales para usuarios suspendidos recopilados mediante una API diferente, lo que eleva el total a casi 7 millones de perfiles de Twitter que contienen información privada.

Pompompurin dijo que este segundo volcado de datos no se vendió y solo se compartió de forma privada entre unas pocas personas.