Si bien Twitter ya ha dicho que solucionó la vulnerabilidad de su API, computadora pitido informa que los piratas informáticos podrían explotar los datos de 5,4 millones de usuarios a través de la misma vulnerabilidad. Los datos robados se comparten de forma gratuita en un foro de piratería.
A finales de julio, se encontró una peligrosa vulnerabilidad en la API de Twitter después de que vendiera los datos de 5,4 millones de usuarios en un foro por 30.000 dólares. El paquete incluía principalmente datos generales como ID de Twitter, nombres y nombres de inicio de sesión. Pero los números de teléfono y las direcciones de correo electrónico del usuario también se incluyeron en el paquete. En enero, Twitter anunció que había encubierto la falla en su API. Sin embargo, los piratas informáticos no están de acuerdo con esa afirmación.
Según se informa, la vulnerabilidad en la API de Twitter permite a los piratas informáticos recuperar la ID de Twitter asociada enviando números de teléfono y direcciones de correo electrónico a la API. En ese momento, Twitter dijo que no tenía evidencia de que los piratas informáticos pudieran explotar la vulnerabilidad.
Los piratas informáticos también podrían robar 1,4 millones de puntos de datos de Twitter adicionales
Hasta ahora, sabemos que Twitter mintió acerca de corregir la vulnerabilidad de la API, pero la mala noticia es que se filtraron aún más datos. Pompompurin, el propietario del foro de piratería Breached, le dijo al medio que un mal actor llamado “Devil” les informó sobre la vulnerabilidad y que eran responsables de crear un gran volcado de registros de usuarios de Twitter.
Esos 5,4 millones de datos de usuarios no son los únicos datos robados por la aplicación de redes sociales debido a su falla en la API. Pompompurin dijo que podría aprovechar 1,4 millones de puntos de datos de Twitter adicionales para cuentas suspendidas. Eventualmente, los datos de casi 7 millones de usuarios son robados debido a una vulnerabilidad de API. Por supuesto, Pompompurin dijo que el segundo paquete de datos no se vendió y solo se compartió de forma privada entre algunos piratas informáticos.
Pero más piratas informáticos podrían aprovechar esa vulnerabilidad de la API. Y es posible que ya se hayan filtrado los datos privados de decenas de millones de usuarios de Twitter. BleepingComputer afirma que el volcado puede contener más de 17 millones de registros, pero no pueden confirmar la noticia de forma independiente.
El experto en seguridad Chad Loder primero compartió la noticia en Twitter, pero luego su cuenta fue suspendida. Ahora ha compartido una muestra redactada de esos datos de Mastodon. “Acabo de recibir evidencia de una violación masiva de datos de Twitter que afecta a millones de cuentas de Twitter en la Unión Europea y los Estados Unidos”, dijo Loder. También dijo que la violación ocurrió no antes de 2021.