Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Twitter confirma el uso del día cero para exponer datos de 5,4 millones de cuentas

Twitter confirma el uso del día cero para exponer datos de 5,4 millones de cuentas

por Dragora

Twitter ha confirmado que una violación de datos reciente fue causada por una vulnerabilidad de día cero ahora parcheada que se utiliza para vincular direcciones de correo electrónico y números de teléfono a las cuentas de los usuarios, lo que permite a un actor de amenazas compilar una lista de 5,4 millones de perfiles de cuentas de usuarios.

El mes pasado, BleepingComputer habló con un actor de amenazas que dijo que pudo crear una lista de 5,4 millones de perfiles de cuentas de Twitter utilizando una vulnerabilidad en el sitio de redes sociales.

Esta vulnerabilidad permitía que cualquier persona enviara una dirección de correo electrónico o un número de teléfono, verificara si estaba asociado con una cuenta de Twitter y recuperara la identificación de la cuenta asociada. El actor de amenazas luego usó esta identificación para raspar la información pública de la cuenta.

Datos de Twitter vendidos en un foro de hackers
Datos de Twitter vendidos en un foro de hackers
Fuente: BleepingComputer

Esto permitió al actor de amenazas crear perfiles de 5,4 millones de usuarios de Twitter en diciembre de 2021, incluido un número de teléfono verificado o una dirección de correo electrónico, y extrajo información pública, como recuentos de seguidores, nombre de pantalla, nombre de inicio de sesión, ubicación, URL de imagen de perfil y otros. información.

A continuación se puede ver un ejemplo redactado de uno de estos perfiles de Twitter creados.

Un ejemplo redactado de uno de los perfiles de Twitter generados
Un ejemplo redactado de uno de los perfiles de Twitter generados
Fuente: BleepingComputer

En ese momento, el actor de amenazas estaba vendiendo los datos por $ 30,000 y le había dicho a BleepingComputer que había compradores interesados.

BleepingComputer luego se enteró de que dos actores de amenazas diferentes compraron los datos por menos del precio de venta original y que los datos probablemente se liberarían de forma gratuita en el futuro.

Twitter confirma el uso del día cero para recopilar datos

Hoy, Twitter ha confirmado que la vulnerabilidad utilizada por el actor de amenazas en diciembre es la misma que informaron y corrigieron en enero de 2022 como parte de su programa de recompensas por errores HackerOne. 

«En enero de 2022, recibimos un informe a través de nuestro programa de recompensas por errores de una vulnerabilidad que permitía a alguien identificar el correo electrónico o el número de teléfono asociado con una cuenta o, si conocían el correo electrónico o el número de teléfono de una persona, podían identificar su cuenta de Twitter, si existiera», reveló Twitter hoy en un aviso de seguridad .

«Este error fue el resultado de una actualización de nuestro código en junio de 2021. Cuando nos enteramos de esto, lo investigamos de inmediato y lo solucionamos. En ese momento, no teníamos evidencia que sugiriera que alguien se había aprovechado de la vulnerabilidad».

Como parte de la divulgación de hoy, Twitter le dijo a BleepingComputer que ya comenzaron a enviar notificaciones esta mañana para alertar a los usuarios afectados sobre si la violación de datos expuso su número de teléfono o dirección de correo electrónico.

You may also like

Dejar Comentario

Click to listen highlighted text!