Lo que realmente significa la filtración de 200 millones de correos electrónicos de Twitter
Rosie Struve; Getty Images Tras los informes a finales de 2022 de que los piratas informáticos estaban vendiendo datos robados de 400 millones de usuarios de Twitter, los investigadores ahora dicen que un tesoro generalizado de direcciones de correo electrónico vinculadas a unos 200 millones de usuarios es probablemente una versión refinada de los más grandes Treasure Trove con entradas duplicadas. REMOTO. La red social aún tiene que comentar sobre la divulgación masiva, pero el caché de datos aclara la gravedad de la filtración y quién puede estar en mayor riesgo como resultado. Desde junio de 2021 hasta enero de 2022, hubo un error en una interfaz de programación o API de Twitter que permitía a los atacantes enviar información de contacto, como direcciones de correo electrónico, a cambio de recibir la cuenta de Twitter asociada, si la hubiera. Antes de que se reparara, los atacantes aprovecharon la falla para «raspar» datos de la red social. Y aunque el error no permitía que los piratas informáticos accedieran a contraseñas u otra información confidencial como mensajes directos, reveló la conexión entre las cuentas de Twitter, que a menudo son seudónimas, y las direcciones de correo electrónico y los números de teléfono asociados con ellas, lo que podría permitir identificar a los usuarios. .
Mientras estaba en vivo, la vulnerabilidad parece haber sido explotada por múltiples actores para construir varias colecciones de datos. Uno, que ha estado circulando en foros sobre delincuencia desde el verano, contenía las direcciones de correo electrónico y los números de teléfono de unos 5,4 millones de usuarios de Twitter. El enorme tesoro que acaba de surgir parece contener solo direcciones de correo electrónico. Sin embargo, la distribución generalizada de los datos conlleva el riesgo de que provoque ataques de phishing, intentos de robo de identidad y otros ataques individuales. Twitter no ha respondido a las solicitudes de comentarios de WIRED. La empresa escribió sobre la vulnerabilidad de la API en una divulgación de agosto: «Cuando nos enteramos, inmediatamente investigamos y la arreglamos. En ese momento, no teníamos evidencia de que alguien hubiera explotado la vulnerabilidad”. Aparentemente, la telemetría de Twitter fue insuficiente para detectar el raspado malicioso. Twitter está lejos de ser la primera plataforma en someter los datos a un raspado masivo a través de una falla de API, y es común en tales escenarios que haya confusión sobre cuántos activos de datos diferentes existen realmente como resultado de una explotación maliciosa. Sin embargo, estos incidentes siguen siendo significativos, ya que agregan más conexiones y validación a la enorme cantidad de datos robados que ya existen en el ecosistema criminal sobre los usuarios. “Aparentemente hay varias personas que estaban al tanto de esta vulnerabilidad de API y varias personas que la espiaron. ¿Diferentes personas rasparon cosas diferentes? ¿Cuántos tesoros ocultos hay? No importa”, dice Troy Hunt, fundador del sitio web de seguimiento de brechas HaveIBeenPwned. Hunt incluyó el registro de Twitter en HaveIBeenPwned y dice que contenía información sobre más de 200 millones de cuentas. El noventa y ocho por ciento de las direcciones de correo electrónico ya habían sido expuestas en infracciones anteriores registradas por HaveIBeenPwned. Y Hunt dice que ha enviado correos electrónicos de notificación a casi 1.064.000 de los 4.400.000 millones de suscriptores de correo electrónico de su servicio. «Es la primera vez que envío un correo electrónico de siete dígitos», dice. “Casi una cuarta parte de mi cuerpo total de suscriptores es verdaderamente significativo. Pero con tanto de eso ya disponible, no creo que este sea un incidente que vaya a tener una cola larga en términos de impacto. Pero puede quitar el anonimato a las personas. Lo que más me preocupa es la gente que quiere proteger su privacidad”. Twitter escribió en agosto que compartía preocupaciones sobre la posibilidad de que las cuentas seudónimas de los usuarios se vinculen con sus identidades reales debido a la vulnerabilidad de la API. «Si tiene una cuenta de Twitter seudónima, entendemos los riesgos que puede plantear un incidente como este y lamentamos profundamente que esto haya sucedido», escribió la compañía. «Para mantener su identidad lo más ofuscada posible, recomendamos no agregar un número de teléfono o una dirección de correo electrónico conocidos públicamente a su cuenta de Twitter». En agosto, la red social dijo que estaba notificando a las personas potencialmente afectadas sobre la situación. La compañía no ha dicho si hará más notificaciones dados los cientos de millones de registros revelados. La Comisión de Protección de Datos de Irlanda dijo el mes pasado que estaba investigando el incidente, que arrojó las direcciones de correo electrónico y los números de teléfono de 5,4 millones de usuarios. Twitter también está siendo investigado actualmente por la Comisión Federal de Comercio de EE. UU. por violar un «Decreto de Consentimiento» que obliga a Twitter a mejorar las medidas de privacidad y protección de datos de sus usuarios. Esta historia apareció originalmente en wired.com.