La peor filtración de Twitter no tiene fin: hackers recopilan datos de 5,4 millones de cuentas
La plataforma sufrió un ataque en julio que afirmó haber solucionado, pero expertos en ciberseguridad aseguran que la vulnerabilidad sigue activa.
28 noviembre, 2022 16:31Todos en España recordamos cómo en verano de este año se produjo una filtración masiva de datos, que expuso datos privados de usuarios que se contaban por millones. Un problema que afectó gravemente a una plataforma que aún no estaba bajo la mano de Elon Musk. Ahora, todo apunta a dicha filtración fue peor de lo que muchos creían y que Twitter no ha puesto los medios para remediarla.
[Twitter confirma el hackeo de millones de cuentas: cambia tu contraseña y estos ajustes de seguridad]
Según recoge 9to5Mac, la filtración masiva que se produjo en julio de 2022 y que afectó a más de 5,4 millones de usuarios, filtrando sus números de teléfono y direcciones de correos, está siendo activamente explotada por hackers y delincuentes cibernéticos.
Y es que existen evidencias de que esta brecha de seguridad está provocando que se vendan datos de las víctimas en la Deep Web. En un principio se creía que solo un hacker tuvo acceso a las cuentas filtradas, y que Twitter solucionó el problema rápidamente, pero no ha sido así.
Todo empeora
Nos remontamos a enero de 2022. HackerOne, medio centrado en software y seguridad cibernética, aseguró que existía una vulnerabilidad en Twitter que permitía a cualquier usuario ingresar un dato asociado a un ID de Twitter. Es decir, usando un número de teléfono o un correo electrónico, podías encontrar dicho identificador interno de Twitter. Así, un hacker tan solo tenía que usar estos datos para crear toda una base de datos.
Todo se produjo gracias a una vulnerabilidad zero-day encontrada el 1 de enero de dicho mes. Lo más grave es que cualquier usuario que tuviera los conocimientos necesarios podía hacer todo esto sin necesidad siquiera de autentificarse en la red social. Los sistemas de Twitter se encargarían de revelarle dicha cuenta, incluso si el usuario había cambiado los ajustes de privacidad para evitarlo.
[¿Va a cerrar Twitter? Cómo descargar tus tweets y llevarte tu perfil a Mastodon por si acaso]
Twitter aseguró que no tenían constancia de que se hubiera explotado la vulnerabilidad. No fue hasta julio, cuando Restore Privacy reveló que se estaba vendiendo la ya famosa base de datos de 5,4 millones de cuentas por 30.000 dólares. Cotejaron la muestra de datos con los que disponían y confirmaron que, efectivamente, la vulnerabilidad había sido explotada. Al parecer, todo habría acabado aquí, con Twitter parcheando la vulnerabilidad y recompensando a los descubridores de dicha vulnerabilidad. Pero nada más lejos de la realidad.
Chad Loder, fundador de la empresa de concienciación sobre seguridad cibernética Habitu8, aseguró en Twitter el pasado 23 de noviembre que la brecha era peor de lo esperado. Aseguró que esta ya había sucedido "antes de 2021" y que no se había informado de ella antes. Es decir, que estaba activa antes siquiera de que HackerOne la reportara.
Tanto Loder como otras fuentes de 9to5Mac han revisado que no ha habido un solo hacker, sino varios. Se ha descubierto otro conjunto de datos, también vendido en la Deep Web, que contenía exactamente la misma información que los que incluía la primera base de datos filtrada, solo que en un formato diferente. Este es, según el medio, "uno de varios archivos que se habrían visto".
Según Loder cualquier cuenta que tuviera la opción de Visibilidad > Teléfono activada a finales de 2021 se incluyó en dicho conjunto de datos. Todo apunta a que esta opción estaría activa de forma predeterminada, algo que agravaría el asunto fuertemente. Todos estos conjuntos se estarían vendiendo por precios de alrededor de 5000 dólares.
Si lo que Loder y las fuentes de 9to5Mac aseguran es cierto, entonces habría en estos momentos un conjunto de hackers recopilando hasta 500.000 registros por hora desde al menos 2021. Tanto 9to5Mac como otros medios han denunciado cómo actualmente Twitter carece de equipo de relaciones públicas, por lo que no han podido contactar con la compañía para aclarar lo sucedido.