Noticias

Hacker ofrece datos de 5,4 millones de usuarios de Twitter a la venta por 30.000 dólares

Una vulnerabilidad de Twitter descubierta en enero de 2022 permitió a un actor de amenazas acceder a una base de datos que contenía números de teléfono y direcciones de correo electrónico asociados con 5,4 millones de usuarios de cuentas de Twitter, según informó por primera vez RestorePrivacy.

Si bien se corrigió la vulnerabilidad de Twitter, el atacante conocido como ‘diablo’ está vendiendo la base de datos supuestamente obtenida de este exploit en Breached Forums, un popular foro de piratería, por $ 30,000. La base de datos contiene información sobre varias cuentas, incluidas celebridades, empresas y usuarios aleatorios.

“Hola, hoy les presento datos recopilados sobre múltiples usuarios que usan Twitter a través de una vulnerabilidad. (5485636 usuarios para ser exactos)”, se lee en la publicación del foro que vende los datos de Twitter. «Estos usuarios van desde Famosos, hasta Empresas, aleatorios, OG, etc.»

En enero de 2022, hackeruno usuario «Zhirinovsky» reportado una vulnerabilidad de Twitter que permitió a un atacante encontrar una cuenta de Twitter con su número de teléfono/dirección de correo electrónico incluso si el usuario la bloqueó en las opciones de privacidad.

La vulnerabilidad ocurrió durante el proceso de autorización de Twitter utilizado en el Cliente de Twitter de Android, específicamente al examinar cuentas de Twitter duplicadas.

El informe de error decía: “Esta es una amenaza grave, ya que las personas no solo pueden acceder a usuarios restringidos por correo electrónico o número de teléfono, sino que cualquier atacante con conocimientos básicos de secuencias de comandos puede/codificar gran parte de ellos. la base de usuarios de Twitter no está disponible [sic] para contar antes (crear una base de datos con contactos de teléfono/correo electrónico con un nombre de usuario). Dichas bases se pueden vender a partes maliciosas con fines publicitarios o con el fin de apuntar a celebridades en diversas actividades maliciosas”.

Twitter reconoció el 6 de enero de 2022 que se trataba de un «problema de seguridad válido» y prometió investigar. Resolvió el asunto el 13 de enero de 2022, e incluso fue recompensado hackeruno usuario «Zhirinovsky” con una recompensa de $5,040 por encontrar el error.

El propietario de Breach Forums ha verificado la autenticidad de la filtración y también señaló que se obtuvo a través de la vulnerabilidad de hackeruno descrito arriba.

Restaurar privacidad Verificó la base de datos de muestra con algunos de los usuarios de Twitter enumerados y descubrió que las direcciones de correo electrónico y los números de teléfono son precisos y están vinculados a usuarios reales.

Si bien Twitter no ha confirmado la fuga de datos reciente, un portavoz de Twitter dijo que la compañía está «revisando los datos más recientes para verificar la autenticidad de las afirmaciones y garantizar la seguridad de las cuentas involucradas».

“Recibimos un informe de este incidente hace varios meses a través de nuestro programa de recompensas por errores, e inmediatamente realizamos una investigación exhaustiva y solucionamos la vulnerabilidad. Como siempre, estamos comprometidos a proteger la privacidad y la seguridad de las personas que usan Twitter”, dijo un portavoz de Twitter.

“Agradecemos a la comunidad de seguridad que participa en nuestro programa de recompensas por errores para ayudarnos a identificar posibles vulnerabilidades como esta. Estamos revisando los datos más recientes para verificar la autenticidad de los reclamos y garantizar la seguridad de las cuentas involucradas”.

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!