Más de 5,4 millones de registros de usuarios de Twitter que contienen información no pública robada mediante una vulnerabilidad de API reparada en enero se han compartido de forma gratuita en un foro de hackers.
Un investigador de seguridad también reveló otro volcado de datos masivo, potencialmente más significativo, de millones de registros de Twitter, lo que demuestra cuán ampliamente abusaron de este error los actores de amenazas.
Los datos consisten en información pública recopilada, así como números de teléfono privados y direcciones de correo electrónico que no deben ser públicas.
La violación de datos de Twitter
En julio pasado, un actor de amenazas comenzó a vender la información privada de más de 5,4 millones de usuarios de Twitter en un foro de piratería por 30.000 dólares.
Si bien la mayoría de los datos consistía en información pública, como ID de Twitter, nombres, nombres de inicio de sesión, ubicaciones y estado verificado, también incluía información privada, como números de teléfono y direcciones de correo electrónico.
Estos datos se recopilaron en diciembre de 2021 mediante una vulnerabilidad de la API de Twitter revelada en el programa de recompensas por errores de HackerOne que permitía a las personas enviar números de teléfono y direcciones de correo electrónico a la API para recuperar la ID de Twitter asociada.
Usando esta identificación, los actores de la amenaza podrían extraer información pública sobre la cuenta para crear un registro de usuario que contenga información pública y privada, como se muestra a continuación.
No está claro si se filtró la divulgación de HackerOne, pero se le dijo a BleepingComputer que varios actores de amenazas estaban utilizando el error para robar información privada de Twitter.
Después de que BleepingComputer compartiera una muestra de los registros de usuarios con Twitter, la empresa de redes sociales confirmó que había sufrido una violación de datos mediante un error de API solucionado en enero de 2022.
Pompompurin, el propietario del foro de piratería Breached, le dijo a BleepingComputer este fin de semana que ellos eran los responsables de explotar el error y crear el volcado masivo de registros de usuarios de Twitter después de que otro actor de amenazas conocido como ‘Devil’ compartiera la vulnerabilidad con ellos.
Además de los 5,4 millones de registros a la venta, también hubo 1,4 millones de perfiles de Twitter adicionales para usuarios suspendidos recopilados mediante una API diferente, lo que eleva el total a casi 7 millones de perfiles de Twitter que contienen información privada.
Pompompurin dijo que este segundo volcado de datos no se vendió y solo se compartió de forma privada entre unas pocas personas.
Datos de Twitter compartidos en un foro de piratería
En septiembre, y ahora más recientemente, el 24 de noviembre, los 5,4 millones de registros de Twitter ya se han compartido de forma gratuita en un foro de piratería.
5,4 millones de registros de Twitter filtrados en línea de forma gratuita
Fuente: BleepingComputer
Pompompurin ha confirmado a BleepingComputer que estos son los mismos datos que estaban a la venta en agosto e incluyen 5.485.635 registros de usuarios de Twitter.
Estos registros contienen una dirección de correo electrónico privada o un número de teléfono y datos recopilados públicos, incluidos el ID de Twitter de la cuenta, el nombre, el nombre de pantalla, el estado verificado, la ubicación, la URL, la descripción, el número de seguidores, la fecha de creación de la cuenta, el número de amigos, el número de favoritos, recuento de estados y URL de imagen de perfil.
Un volcado de datos aún más grande creado de forma privada
Si bien es preocupante que los actores de amenazas publicaron los 5,4 millones de registros de forma gratuita, supuestamente se creó un volcado de datos aún mayor utilizando la misma vulnerabilidad.
Este volcado de datos contiene potencialmente decenas de millones de registros de Twitter que consisten en números de teléfono personales recopilados con el mismo error de API e información pública, incluido el estado verificado, nombres de cuenta, ID de Twitter, biografía y nombre de pantalla.
La noticia de esta violación de datos más significativa proviene del experto en seguridad Chad Loder, quien primero dio la noticia en Twitter y fue suspendido poco después de publicar. Posteriormente, Loder publicó una muestra redactada de esta violación de datos más grande en Mastodon .
«Acabo de recibir evidencia de una violación masiva de datos de Twitter que afecta a millones de cuentas de Twitter en la UE y EE. UU. Me puse en contacto con una muestra de las cuentas afectadas y confirmaron que los datos violados son precisos. Esta violación no ocurrió antes de 2021″. Loder compartió en Twitter.
BleepingComputer obtuvo un archivo de muestra de este volcado de datos de Twitter previamente desconocido, que contiene 1.377.132 números de teléfono para usuarios en Francia.
Desde entonces, hemos confirmado con numerosos usuarios en esta filtración que los números de teléfono son válidos, verificando que esta violación de datos adicional sea real.
Además, ninguno de estos números de teléfono está presente en los datos originales vendidos en agosto, lo que ilustra cuán mayor fue la violación de datos de Twitter de lo que se reveló anteriormente y la gran cantidad de datos de usuarios que circulan entre los actores de amenazas.
Pompompurin también confirmó con BleepingComputer que no eran responsables y que no sabían quién creó este volcado de datos recién descubierto, lo que indica que otras personas estaban usando esta vulnerabilidad de API.
BleepingComputer se enteró de que este volcado de datos recientemente descubierto consta de numerosos archivos divididos por países y códigos de área, incluidos Europa, Israel y EE. UU.
Nos dijeron que consta de más de 17 millones de registros, pero no pudimos confirmarlo de forma independiente.
Dado que estos datos se pueden utilizar potencialmente para ataques de phishing dirigidos a obtener acceso a las credenciales de inicio de sesión, es esencial analizar cualquier correo electrónico que afirme provenir de Twitter.
Si recibe un correo electrónico que dice que su cuenta fue suspendida, hay problemas de inicio de sesión o está a punto de perder su estado verificado, y le solicita que inicie sesión en un dominio que no sea de Twitter, ignore los correos electrónicos y elimínelos como están. probables intentos de phishing.
BleepingComputer se comunicó con Twitter el jueves sobre este volcado de datos adicional de información privada, pero aún no ha recibido una respuesta.
Fuente: https://www.bleepingcomputer.com