Rosie Struve; imágenes falsas
Después de los informes a fines de 2022 de que los piratas informáticos estaban vendiendo datos robados de 400 millones de usuarios de Twitter, los investigadores ahora dicen que un tesoro de direcciones de correo electrónico ampliamente circulado vinculado a unos 200 millones de usuarios es probablemente una ver sión refinada del tesoro más grande con entradas duplicadas eliminadas. La red social aún no ha comentado sobre la exposición masiva, pero el caché de datos aclara la gravedad de la filtración y quién puede estar en mayor riesgo como resultado de ella.
Desde junio de 2021 hasta enero de 2022, hubo un error en una interfaz de programación de aplicaciones de Twitter, o API, que permitía a los atacantes enviar información de contacto como direcciones de correo electrónico y recibir a cambio la cuenta de Twitter asociada, si la hubiera. Antes de que se parcheara, los atacantes explotaron la falla para “raspar” los datos de la red social. Y aunque el error no permitió que los piratas informáticos accedieran a contraseñas u otra información confidencial como mensajes directos, expuso la conexión entre las cuentas de Twitter, que a menudo son seudónimas, y las direcciones de correo electrónico y los números de teléfono vinculados a ellas, lo que podría identificar a los usuarios.
Mientras estaba en vivo, la vulnerabilidad aparentemente fue explotada por múltiples actores para construir diferentes colecciones de datos. Uno que ha estado circulando en foros criminales desde el verano incluía las direcciones de correo electrónico y los números de teléfono de unos 5,4 millones de usuarios de Twitter. El enorme tesoro recién descubierto parece contener solo direcciones de correo electrónico. Sin embargo, la circulación generalizada de los datos crea el riesgo de que provoque ataques de phishing, intentos de robo de identidad y otros ataques individuales.
Twitter no respondió a las solicitudes de comentarios de WIRED. La empresa escribió sobre la vulnerabilidad de la API en una divulgación de agosto: “Cuando nos enteramos de esto, inmediatamente investigamos y lo arreglamos. En ese momento, no teníamos evidencia que sugiriera que alguien se había aprovechado de la vulnerabilidad”. Aparentemente, la telemetría de Twitter fue insuficiente para detectar el raspado malicioso.
Twitter está lejos de ser la primera plataforma en exponer datos para el raspado masivo a través de una falla de API, y es común en tales escenarios que haya confusión sobre cuántos tesoros distintos de datos existen en realidad como resultado de una explotación maliciosa. Sin embargo, estos incidentes siguen siendo significativos porque agregan más conexiones y validación al cuerpo masivo de datos robados que ya existe en el ecosistema criminal sobre los usuarios.
“Obviamente, hay varias personas que conocían esta vulnerabilidad de API y varias personas que la eliminaron. ¿Diferentes personas rasparon cosas diferentes? ¿Cuántos tesoros hay? En cierto modo no importa”, dice Troy Hunt, fundador del sitio de seguimiento de infracciones HaveIBeenPwned. Hunt ingirió el conjunto de datos de Twitter en HaveIBeenPwned y dice que representaba información sobre más de 200 millones de cuentas. El noventa y ocho por ciento de las direcciones de correo electrónico ya habían sido expuestas en infracciones anteriores registradas por HaveIBeenPwned. Y Hunt dice que envió correos electrónicos de notificación a casi 1.064.000 de los 4.400.000 millones de suscriptores de correo electrónico de su servicio.
“Es la primera vez que envío un correo electrónico de siete cifras”, dice. “Casi una cuarta parte de todo mi corpus de suscriptores es realmente significativo. Pero debido a que gran parte de esto ya estaba disponible, no creo que este sea un incidente que tenga una cola larga en términos de impacto. Pero puede quitar el anonimato a las personas. Lo que más me preocupa son las personas que querían mantener su privacidad”.
Twitter escribió en agosto que compartía esta preocupación sobre la posibilidad de que las cuentas seudónimas de los usuarios se vinculen con sus identidades reales como resultado de la vulnerabilidad de la API.
“Si opera una cuenta de Twitter seudónima, entendemos los riesgos que puede presentar un incidente como este y lamentamos profundamente que esto haya sucedido”, escribió la compañía. “Para mantener su identidad lo más oculta posible, recomendamos no agregar un número de teléfono o dirección de correo electrónico conocidos públicamente a su cuenta de Twitter”.
Sin embargo, para los usuarios que aún no habían vinculado sus identificadores de Twitter a cuentas de correo electrónico desechables en el momento del raspado, el consejo llega demasiado tarde. En agosto, la red social dijo que estaba notificando a las personas potencialmente afectadas sobre la situación. La compañía no ha dicho si hará más notificaciones a la luz de los cientos de millones de registros expuestos.
Comisión de Protección de Datos de Irlanda dicho el mes pasado que está investigando el incidente que produjo el tesoro de 5,4 millones de direcciones de correo electrónico y números de teléfono de los usuarios. Twitter también está siendo investigado actualmente por la Comisión Federal de Comercio de EE. UU. sobre si la empresa violó un “decreto de consentimiento” que obligaba a Twitter a mejorar la privacidad de sus usuarios y las medidas de protección de datos.
Esta historia apareció originalmente en Wired.com.