Si bien Twitter ya afirmó que había corregido la vulnerabilidad de su API, BleepingComputer informa que los piratas informáticos podrían explotar los datos de 5,4 millones de usuarios a través de la misma vulnerabilidad. Los datos robados se comparten de forma gratuita en un foro de piratería.
A finales de julio, se encontró una vulnerabilidad peligrosa en la API de Twitter después de vender los datos de 5,4 millones de usuarios en un foro por 30.000 dólares. El paquete incluía principalmente datos generales como ID de Twitter, nombres y nombres de inicio de sesión. Pero también, los números de teléfono y las direcciones de correo electrónico del usuario se incluyeron en el paquete. En enero, Twitter anunció que había cubierto la falla en su API. Sin embargo, los piratas informáticos no están de acuerdo con esa afirmación.
La vulnerabilidad en la API de Twitter supuestamente permite a los piratas informáticos recuperar la ID de Twitter asociada enviando números de teléfono y direcciones de correo electrónico a la API. En ese momento, Twitter dijo que no tenía evidencia de que los piratas informáticos pudieran aprovechar la vulnerabilidad.
Los piratas informáticos también podrían robar otros 1,4 millones de datos de Twitter
Hasta ahora, sabemos que Twitter ha mentido sobre la corrección de la vulnerabilidad de la API, pero la mala noticia es que existe aún más datos filtrados. Pompompurin, el propietario del foro de piratería Breached, le dijo al medio que un mal actor llamado”Devil”les informó sobre la vulnerabilidad y que eran responsables de crear un volcado masivo de registros de usuarios de Twitter.
Esos 5,4 millones los datos del usuario no son los únicos datos robados de la aplicación de redes sociales a través de su falla API. Pompompurin afirmó que podrían explotar 1,4 millones de datos adicionales de Twitter para cuentas suspendidas. En última instancia, los datos de casi 7 millones de usuarios son robados a través de una vulnerabilidad API. Por supuesto, Pompompurin dijo que el segundo paquete de datos no se vendió y solo se compartió de forma privada entre unos pocos piratas informáticos.
Pero más piratas informáticos podrían aprovechar esa vulnerabilidad de la API. Y es posible que ya se hayan filtrado los datos privados de decenas de millones de usuarios de Twitter. BleepingComputer dice que el volcado podría contener más de 17 millones de registros, pero no pueden confirmar la noticia de forma independiente.
El experto en seguridad Chad Loder primero compartió la noticia en Twitter, pero su cuenta fue suspendida más tarde. Ahora ha compartido una muestra redactada de esos datos en Mastodon. “Acabo de recibir evidencia de una violación masiva de datos de Twitter que afecta a millones de cuentas de Twitter en la Unión Europea y Estados Unidos”, dijo Loder. También afirmó que la violación no ocurrió antes de 2021.
