Twitter confirma uso de zero day para exponer datos de 5,4 millones de cuentas

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Twitter ha confirmado que una violación de datos reciente fue causada por una vulnerabilidad de día cero ahora parcheada que se utiliza para vincular direcciones de correo electrónico y números de teléfono a las cuentas de los usuarios, lo que permite a un actor de amenazas compilar una lista de 5,4 millones de perfiles de cuentas de usuarios.

El mes pasado, un actor de amenazas que dijo que pudo crear una lista de 5,4 millones de perfiles de cuentas de Twitter utilizando una vulnerabilidad en el sitio de redes sociales.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esta vulnerabilidad permitía que cualquier persona enviara una dirección de correo electrónico o un número de teléfono, verificara si estaba asociado con una cuenta de Twitter y recuperara la identificación de la cuenta asociada. El actor de amenazas luego usó esta identificación para raspar (scraping)la información pública de la cuenta.

Esto permitió al actor de amenazas crear perfiles de 5,4 millones de usuarios de Twitter en diciembre de 2021, incluido un número de teléfono verificado o una dirección de correo electrónico, y extrajo información pública, como recuentos de seguidores, nombre de usuario, nombre de inicio de sesión, ubicación, URL de imagen de perfil y otros.

En ese momento, el actor de amenazas estaba vendiendo los datos por $ 30,000 y le había declarado que había compradores interesados.

Se confirmó que dos actores de amenazas diferentes compraron los datos por menos del precio de venta original y que los datos probablemente se liberarían de forma gratuita en el futuro.

Twitter confirma el uso del día cero para recopilar datos

Hoy, Twitter ha confirmado que la vulnerabilidad utilizada por el actor de amenazas en diciembre es la misma que informaron y corrigieron en enero de 2022 como parte de su programa de recompensas por errores HackerOne.

"En enero de 2022, recibimos un informe a través de nuestro programa de recompensas por errores de una vulnerabilidad que permitía a alguien identificar el correo electrónico o el número de teléfono asociado con una cuenta o, si conocían el correo electrónico o el número de teléfono de una persona, podían identificar su cuenta de Twitter, si existiera", reveló Twitter hoy en un aviso de seguridad.

"Este error fue el resultado de una actualización de nuestro código en junio de 2021. Cuando nos enteramos de esto, lo investigamos de inmediato y lo solucionamos. En ese momento, no teníamos evidencia que sugiriera que alguien se había aprovechado de la vulnerabilidad".

Como parte de la divulgación de hoy, Twitter le declaró que ya comenzaron a enviar notificaciones esta mañana para alertar a los usuarios afectados sobre si la violación de datos expuso su número de teléfono o dirección de correo electrónico.

En este momento, Twitter divulga que no pueden determinar la cantidad exacta de personas afectadas por la infracción. Sin embargo, el actor de amenazas afirma haber utilizado la falla para recopilar los datos de 5.485.636 usuarios de Twitter.

Si bien no se expusieron contraseñas en esta violación, Twitter alienta a los usuarios a habilitar la autenticación de dos factores en sus cuentas para evitar inicios de sesión no autorizados como medida de seguridad.

Para aquellos que usan una cuenta de Twitter seudónima, la compañía de redes sociales sugiere que mantengan su identidad lo más anónima posible al no usar un número de teléfono o dirección de correo electrónico conocidos públicamente en su cuenta de Twitter.

"Estamos publicando esta actualización porque no podemos confirmar todas las cuentas que se vieron potencialmente afectadas, y somos particularmente conscientes de las personas con cuentas seudónimas que pueden ser atacadas por el estado u otros actores", advirtió el aviso de Twitter.

Además, dado que dos actores de amenazas diferentes ya compraron estos datos, los usuarios deben estar atentos a las campañas de phishing dirigidas que utilizan estos datos para robar sus credenciales de inicio de sesión de Twitter.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta