Una vulnerabilidad de Twitter descubierta y reparada por primera vez en enero de 2022 parece haber causado mucho más daño de lo que se pensaba inicialmente.
Como informó LaComparacion Pro a fines de julio de 2022, se vendió en la web oscura un volcado de datos de información de identidad confidencial (se abre en una nueva pestaña) para 5,4 millones de usuarios de Twitter. Ahora, los informes de seguimiento indican que no solo se ofrece este volcado de datos de forma gratuita, sino que se ha producido una segunda infracción, potencialmente incluso más dañina.
Este, según BleepingComputer (se abre en una nueva pestaña), contiene potencialmente "decenas de millones de registros de Twitter", incluidos los números de teléfono de las personas, el estado verificado, los nombres de las cuentas, las identificaciones de Twitter, las biografías y los seudónimos.
Autenticidad confirmada
Los hallazgos fueron publicados originalmente por el investigador de seguridad Chad Loder, quien, según los informes, fue expulsado de Twitter después de dar la noticia. Desde entonces, emigró a Mastodon y publicó sus hallazgos allí.
"Acabo de recibir evidencia de una violación masiva de datos de Twitter que afecta a millones de cuentas de Twitter en la UE y EE. UU. Me puse en contacto con una muestra de las cuentas afectadas y confirmaron que los datos violados son precisos. Esta violación ocurrió no antes de 2021 ”, compartió Loder en Twitter en ese momento.
BleepingComputer analizó una muestra de la brecha, que contenía más de 1,3 millones de números de teléfono de usuarios de Twitter en Francia, y llegó a la conclusión de que los números son válidos.
"Desde entonces, hemos confirmado con numerosos usuarios en esta filtración que los números de teléfono son válidos, verificando que esta violación de datos adicional es real", señala la publicación.
Estos números de teléfono no formaban parte del volcado de datos vendido el verano pasado, lo que confirma todo excepto que se produjo una segunda filtración.
BleepingComputer también logró ponerse en contacto con la persona detrás de la fuga de datos inicial, un hacker que se hizo pasar por "Pompompurin", quien confirmó que no era responsable de la segunda fuga.
Por lo tanto, es seguro asumir que varios actores de amenazas estaban al tanto de la falla de Twitter y trabajaron activamente para explotarla antes de que se parcheara inicialmente.