30.000 dólares valen tus datos de Twitter y los de otros 5,4 millones de usuarios hackeados

30.000 dólares, unos 29.650 euros al cambio actual. Eso valen tus datos privados de Twitter, los que guardas bajo la contraseña de la red social. Los tuyos y los de otros 5,4 millones de personas, incluyendo las cuentas de gente normal, celebridades, famosos y empresas que la semana pasada se enteraron de que Twitter había sufrido una brecha de seguridad y había sido atacada. Porque en la época actual, lo que de verdad da dinero y poder son los datos digitales.

Una vulnerabilidad con meses de antigüedad

Enero de 2022: HackerOne, una plataforma de coordinación de vulnerabilidades y recompensas de errores que conecta a las empresas con probadores de ciberataques e investigadores de ciberseguridad, publica un informe sobre una vulnerabilidad que permite a cualquier parte, sin ningún tipo de autenticación, obtener un ID de Twitter (lo que es casi igual a obtener el nombre de usuario de una cuenta) de cualquier usuario presentando un número de teléfono/correo electrónico, aunque el usuario haya prohibido esta acción en la configuración de privacidad.

El fallo existe debido al proceso de autorización utilizado en el cliente Android de Twitter, concretamente en el proceso de comprobación de la duplicación de una cuenta de Twitter. Utilizando esta vulnerabilidad, un atacante puede encontrar una cuenta de Twitter por su número de teléfono/correo electrónico aunque el usuario lo haya prohibido en las opciones de privacidad.

El usuario de HackerOne "zhirinovskiy" presentó el informe del fallo el 1 de enero de este año. Describió las posibles consecuencias de esta vulnerabilidad como una grave amenaza que podría ser explotada por actores de amenazas:

“Se trata de una amenaza grave, ya que no sólo se puede encontrar a los usuarios que tienen restringida la capacidad de ser encontrados por correo electrónico/número de teléfono, sino que cualquier atacante con conocimientos básicos de scripting/codificación puede enumerar una gran parte de la base de usuarios de Twitter no valiosa para la enumeración previa (crear una base de datos con conexiones de teléfono/correo electrónico a nombre de usuario). Dichas bases pueden ser vendidas a partes maliciosas con fines publicitarios, o con el propósito de etiquetar a celebridades en diferentes actividades maliciosas”.

5,4 millones de usuarios robados

El informe de HackerOne expone posteriormente cómo replicar la vulnerabilidad y obtener los datos de una cuenta de Twitter. Cinco días después de publicar el informe, el personal de Twitter reconoció que se trataba de un "problema de seguridad válido" y prometió seguir investigando. Después de investigar el problema y trabajar para solucionar la vulnerabilidad, Twitter concedió al usuario zhirinovskiy una recompensa de 5.040 dólares. Pero ya era tarde.

Ampliar

Alguien, ya fuese un solo cibercriminal o un grupo hacker, aprovechó ese ‘exploit’ para robar una base de datos de usuarios/as de Twitter compuesta por 5,4 millones de personas. Y la prueba de que existió un robo es que hay alguien en Breached Forums, el famoso foro de hacking que ganó la atención internacional a principios de este mes con una violación de datos que expuso a más de mil millones de residentes chinos. vendiendo precisamente esa misma base de datos por los 30.000$ mencionados.

El site RestorePrivacy comprobó que el post seguía activo con la base de datos de Twitter que supuestamente consiste en 5,4 millones de usuarios a la venta. El vendedor en el foro de hacking se hace llamar "diablo" y afirma que el conjunto de datos incluye "Celebridades, a las empresas, al azar, OGs, etc". Unas horas después de la publicación, el propietario de Breach Forums verificó la autenticidad de la filtración y también señaló que fue extraída a través de la vulnerabilidad del informe de HackerOne mencionado anteriormente.

El usuario de Breach Forums que vendió la base de datos también publicó una muestra de los datos que RestoryPrivacy descargó “para su verificación y análisis. Incluye personas de todo el mundo, con información de perfil público, así como el correo electrónico o el número de teléfono del usuario de Twitter utilizado con la cuenta […] Todas las muestras que hemos examinado coinciden con personas del mundo real que pueden verificarse fácilmente con perfiles públicos en Twitter".

El site se puso en contacto con el vendedor de esta base de datos para obtener información adicional, y este les dijo que toda la información ya había sido revelada en el informe de HackerOne. El vendedor pide al menos 30.000 dólares por la base de datos, que ahora está disponible debido a "la incompetencia de Twitter", según este.

Hace dos días, el pasado 24 de julio, Twitter confirmó que “está investigando la situación, pero no ha proporcionado más información por el momento”.