Twitter informa sobre una nueva falla de seguridad que ha llevado a la exposición de 5,4 millones de cuentas

Twitter se ha visto obligado a informar otra falla de seguridad dentro de sus sistemas que había permitido a los usuarios descubrir si un número de teléfono o una dirección de correo electrónico estaban conectados a una cuenta de Twitter existente, lo que llevó a que al menos un hacker compilara una enorme lista de información de la cuenta de Twitter que luego se vendió en línea.

Como lo explica Gorjeo:

En enero de 2022, recibimos un informe a través de nuestro programa de recompensas por errores de una vulnerabilidad en los sistemas de Twitter. Como resultado de la vulnerabilidad, si alguien envió una dirección de correo electrónico o un número de teléfono a los sistemas de Twitter, los sistemas de Twitter le dirían a la persona con qué cuenta de Twitter se asociaron las direcciones de correo electrónico o el número de teléfono enviados, si corresponde. Cuando nos enteramos de esto, inmediatamente investigamos y lo arreglamos.

Entonces, esencialmente, al usar las herramientas de Twitter diseñadas para ayudar a los usuarios a encontrar conexiones que también están activas en la aplicación, teóricamente podría crear una base de datos de cuentas de Twitter adjuntas a cualquier número de teléfono o dirección de correo electrónico que haya ubicado en la web.

Esto no es una gran revelación. En 2015, BuzzFeed usó una falla similar en los sistemas de Twitter para descubrir la cuenta oculta de un político de extrema derecha en Australia. Pero es el uso masivo de este proceso lo que podría generar problemas.

Que es exactamente lo que ha ocurrido:

“En julio de 2022, supimos a través de un informe de prensa que alguien potencialmente había aprovechado esto y estaba ofreciendo vender la información que habían recopilado. Después de revisar una muestra de los datos disponibles para la venta, confirmamos que un mal actor se había aprovechado del problema antes de que se solucionara”.

De hecho, según BleepingComputer, se habló con una persona que usó esta falla para compilar una base de datos de 5,4 millones de perfiles de cuentas de Twitter ‘incluido un número de teléfono verificado o una dirección de correo electrónico, e información pública recopilada, como recuentos de seguidores, nombre de pantalla, nombre de inicio de sesión, ubicación, URL de la imagen de perfil y otra información’.

La persona, dice BleepingComputer, ha estado buscando vender el conjunto de datos por alrededor de $ 30,000 y, según se informa, varios compradores han adquirido el caché desde entonces.

No se trata de una infracción masiva, ya que se trata, en su mayor parte, de información disponible públicamente: no obtiene nada que no esté disponible gratuitamente a través de otros medios en la web. Pero para los usuarios que han estado buscando mantener su perfil de Twitter separado de su identidad en la vida real, o aquellos que podrían estar tuiteando sobre temas divisivos, significa que las personas podrían rastrear sus números de teléfono a través de esta lista y acosarlos en un forma completamente nueva y más extrema.

De hecho, si sigue las migas de pan, es probable que pueda rastrear la dirección de una persona y otra información como una extensión de este conjunto de datos. Por ejemplo, supongamos que el usuario de Twitter @JohnDoe77 dice algo que no le gusta: podría buscar su nombre de usuario en esta base de datos, si tuviera acceso, y ver si tiene un número de teléfono móvil en la lista. Luego, puede buscar ese número en línea y probablemente encontrar más información de contacto, etc.

Los datos en sí mismos pueden no parecer una violación extrema, no revelan información confidencial adjunta a su cuenta de Twitter, como tal. Pero sigue siendo potencialmente problemático. Lo cual no es un buen aspecto para Twitter.

Tampoco es la primera vez que Twitter se enfrenta a un problema de uso indebido de datos de este tipo.

En 2018, la plataforma descubierta un problema relacionado con uno de sus formularios de soporte, que exponía el código de país de los números de teléfono de las personas, si tenían uno asociado con su cuenta de Twitter, así como si su cuenta había sido bloqueada o no. En 2019, Twitter también fDescubrió que algunas direcciones de correo electrónico y números de teléfono que se habían proporcionado para la seguridad de la cuenta también se habían utilizado con fines de orientación de anuncios, en violación de las normas de uso de datos.

Todos estos son defectos relativamente menores, en un sentido de flujo de datos. Pero no pintan una gran imagen de la capacidad de Twitter para administrar esto y mantener segura la información personal de las personas.

Twitter también debe actuar con mucho cuidado en este momento, dada la batalla legal en curso en el caso de adquisición de Elon Musk. En la actualidad, Musk y su equipo buscan salir del trato, sobre la base de que Twitter ha tergiversado sus datos, lo que constituye un ‘Efecto adverso material’, lo que significa que algo significativo ha alterado los términos originales acordados, hasta el punto de que el plataforma ya no es tan valiosa como lo era originalmente en el momento del acuerdo.

El equipo de Musk está utilizando los números de cuenta falsos y de spam de Twitter como palanca clave aquí, pero si una violación de datos como esta fuera lo suficientemente significativa, eso también podría agregarse al caso legal de Musk, lo que le daría más motivos para plantear preguntas sobre las representaciones oficiales de Twitter, que entonces puede constituir un impacto adverso.

No parece que esta brecha llegue a ese nivel, pero es otro recordatorio para que Twitter verifique y vuelva a verificar sus sistemas para asegurarse de que no haya fallas importantes en los datos o problemas de exposición que puedan usarse en su contra, tanto directamente como en un sentido jurídico.

En este momento, sin embargo, Twitter está trabajando para manejar el problema, cerrando la vulnerabilidad potencial y notificando directamente a los propietarios de las cuentas afectadas.

«Estamos publicando esta actualización porque no podemos confirmar todas las cuentas que se vieron potencialmente afectadas, y somos particularmente conscientes de las personas con cuentas seudónimas que pueden ser atacadas por el estado u otros actores».

No es genial, y podría empeorar mucho si ese conjunto de datos cae en las manos equivocadas.

Esencialmente, este no es un problema importante en este momento, pero podría convertirse en uno. Y en medio de su mayor batalla legal, posiblemente nunca, Twitter no necesita otra distracción, aparte de los impactos directos de la violación en los incluidos en la lista.



Fuente del artículo original

Las imágenes salen del artículo original o bien del banco gratuito de imágenes de Pexels.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *

Publicar comentario