Twitter confirma el robo de datos confidenciales de 5,4 millones de usuarios, ¿estoy entre ellos?
La red social contactará con todos los afectados para notificárselo. La brecha de seguridad se produjo en enero de 2022.
En el mes de enero pasado, HackerOne, una plataforma de coordinación de vulnerabilidades y recompensas de errores que conecta a las empresas con probadores de ciberataques e investigadores de ciberseguridad, publicó un informe sobre una vulnerabilidad que permite a cualquier parte, sin ningún tipo de autenticación, obtener un ID de Twitter (lo que es casi igual a obtener el nombre de usuario de una cuenta) de cualquier usuario presentando un número de teléfono/correo electrónico, aunque el usuario haya prohibido esta acción en la configuración de privacidad.
¿El problema? Que alguien la ha usado. Y Twitter, al fin, lo reconoce.
Vulnerabilidad en Twitter
El fallo existe debido al proceso de autorización utilizado en el cliente Android de Twitter, concretamente en el proceso de comprobación de la duplicación de una cuenta de Twitter. Utilizando esta vulnerabilidad, un atacante puede encontrar una cuenta de Twitter por su número de teléfono/correo electrónico aunque el usuario lo haya prohibido en las opciones de privacidad.
El usuario de HackerOne "zhirinovskiy" presentó el informe del fallo el 1 de enero de este año. Describió las posibles consecuencias de esta vulnerabilidad como una grave amenaza que podría ser explotada por actores de amenazas:
“Se trata de una amenaza grave, ya que no sólo se puede encontrar a los usuarios que tienen restringida la capacidad de ser encontrados por correo electrónico/número de teléfono, sino que cualquier atacante con conocimientos básicos de scripting/codificación puede enumerar una gran parte de la base de usuarios de Twitter no valiosa para la enumeración previa (crear una base de datos con conexiones de teléfono/correo electrónico a nombre de usuario). Dichas bases pueden ser vendidas a partes maliciosas con fines publicitarios, o con el propósito de etiquetar a celebridades en diferentes actividades maliciosas”.
5,4 millones de usuarios robados
El informe de HackerOne expone posteriormente cómo replicar la vulnerabilidad y obtener los datos de una cuenta de Twitter. Cinco días después de publicar el informe, el personal de Twitter reconoció que se trataba de un "problema de seguridad válido" y prometió seguir investigando. Después de investigar el problema y trabajar para solucionar la vulnerabilidad, Twitter concedió al usuario zhirinovskiy una recompensa de 5.040 dólares. Pero ya era tarde.
Alguien, ya fuese un solo cibercriminal o un grupo hacker, aprovechó ese ‘exploit’ para robar una base de datos de usuarios/as de Twitter compuesta por 5,4 millones de personas. Y la prueba de que existió un robo es que hay alguien en Breached Forums, el famoso foro de hacking que ganó la atención internacional a principios de este mes con una violación de datos que expuso a más de mil millones de residentes chinos. vendiendo precisamente esa misma base de datos por los 30.000$ mencionados.
El site RestorePrivacy comprobó que el post seguía activo con la base de datos de Twitter que supuestamente consiste en 5,4 millones de usuarios a la venta. El vendedor en el foro de hacking se hace llamar "diablo" y afirma que el conjunto de datos incluye "Celebridades, a las empresas, al azar, OGs, etc". Unas horas después de la publicación, el propietario de Breach Forums verificó la autenticidad de la filtración y también señaló que fue extraída a través de la vulnerabilidad del informe de HackerOne mencionado anteriormente.
Un robo de datos confirmado
El usuario de Breach Forums que vendió la base de datos también publicó una muestra de los datos que RestoryPrivacy descargó “para su verificación y análisis. Incluye personas de todo el mundo, con información de perfil público, así como el correo electrónico o el número de teléfono del usuario de Twitter utilizado con la cuenta […] Todas las muestras que hemos examinado coinciden con personas del mundo real que pueden verificarse fácilmente con perfiles públicos en Twitter".
El site se puso en contacto con el vendedor de esta base de datos para obtener información adicional, y este les dijo que toda la información ya había sido revelada en el informe de HackerOne. El vendedor pide al menos 30.000 dólares por la base de datos, que ahora está disponible debido a "la incompetencia de Twitter", según este.
Hace unos días, el pasado 24 de julio, Twitter confirmó que “está investigando la situación, pero no ha proporcionado más información por el momento”. Pero finalmente, el 5 de agosto, la compañía admitió que sí, aunque señalan que no se filtraron contraseñas de ninguna clase. En un post en su blog oficial, Twitter señala lo siguiente:
"Queremos informarte de una vulnerabilidad que permitía a alguien introducir un número de teléfono o una dirección de correo electrónico en el flujo de inicio de sesión para intentar saber si esa información estaba vinculada a una cuenta de Twitter existente y, en ese caso, a qué cuenta concreta. Nos tomamos muy en serio nuestra responsabilidad de proteger tu privacidad y es lamentable que esto haya ocurrido. Aunque no hay ninguna medida que debas tomar específicamente en relación con este problema, queremos compartir más información sobre lo ocurrido, las medidas que hemos tomado y algunas prácticas recomendadas para mantener tu cuenta segura.
En enero de 2022, recibimos un informe a través de nuestro programa de recompensas por errores de una vulnerabilidad en los sistemas de Twitter. Como resultado de la vulnerabilidad, si alguien enviaba una dirección de correo electrónico o un número de teléfono a los sistemas de Twitter, estos le indicaban a la persona a qué cuenta de Twitter estaba asociada la dirección de correo electrónico o el número de teléfono enviados, si es que había alguna. Este fallo se produjo a raíz de una actualización de nuestro código en junio de 2021. Cuando nos enteramos de ello, lo investigamos inmediatamente y lo solucionamos. En ese momento, no teníamos pruebas que sugirieran que alguien se había aprovechado de la vulnerabilidad.
En julio de 2022, nos enteramos a través de un informe de prensa de que alguien había aprovechado potencialmente esto y estaba ofreciendo vender la información que había recopilado. Tras revisar una muestra de los datos disponibles para la venta, confirmamos que un mal actor se había aprovechado del problema antes de que se solucionara.
Vamos a notificar directamente a los propietarios de cuentas que podemos confirmar que se han visto afectados por este problema. Publicamos esta actualización porque no podemos confirmar todas las cuentas que se han visto potencialmente afectadas, y tenemos especialmente en cuenta a las personas con cuentas seudónimas que pueden ser objetivo de agentes estatales o de otro tipo".