Los problemas de seguridad de Twitter del pasado pueden ser un quebradero de cabeza actual para la empresa, dirigida ahora por Elon Musk. La anterior filtración masiva de datos que la red social reconoció a mediados de año resurge con una nueva amenaza. Un hacker reclama 200.000 dólares (187.550 euros) a la empresa a cambio de no difundir los datos públicos y privados de 400 millones de usuarios que extrajo a principios de año a través de una vulnerabilidad ya reparada.
Las filtraciones de datos son el combustible de muchos de los ciberataques que pueblan la red a diario y sus consecuencias no acaban cuando se soluciona la brecha de seguridad. Twitter corrigió la vulnerabilidad responsable de esta filtración masiva en enero de 2022, pero no reconoció el problema hasta mediados de año y ahora se sabe que múltiples hackers la utilizaron para extraer información privada de los usuarios de Twitter.
El pirata informático Ryushi ha puesto a la venta en el foro de piratería Breached esa inmensa base de datos de 400 millones de usuarios (más de lo calculado cuando se descubrió la brecha) con la esperanza de que Twitter pague a cambio de deshacerse de la información. Empresas de ciberseguridad como Hudson Rock afirman haber verificado de forma independiente que las muestras filtradas parecen legítimas.
Correos y teléfonos
La lista filtrada revela las direcciones de correo electrónico, los nombres reales, los nombres de usuario, el número de seguidores, la fecha de creación de cada cuenta y los números de teléfono tras esos perfiles. Sin embargo, no todos los perfiles filtrados parecen tener direcciones de correo electrónico asociadas y muchos no tienen números de teléfono.
Como demostración de la veracidad de ese registro masivo, el hacker ha publicado en el foro datos una muestra de treinta y siete celebridades entre las que hay políticos, periodistas, corporaciones y agencias gubernamentales, incluidos Alexandria Ocasio-Cortez, Donald Trump JR, Mark Cuba, Kevin O'Leary y Piers Morgan. Más tarde se filtró una muestra mayor de 1.000 perfiles de usuarios de Twitter.
Salvo los números de teléfono, los nombres y las direcciones de correo electrónico, el resto de datos son información pública que cualquier usuario de la red social puede consultar. El pirata informático ha confirmado a BleepingComputer que recopiló esta información utilizando una vulnerabilidad de API que Twitter solucionó en enero de 2022.
Esta vulnerabilidad permitía a cualquiera introducir grandes listas de números de teléfono y direcciones de correo electrónico en una API de Twitter y recibir una ID de usuario de Twitter a la que estaba asociada cada una. Después, utilizó esa identificación con otra IP para recuperar los datos del perfil público de los usuarios.
[Cambia tu contraseña de Twitter ya: una brecha de seguridad expone millones de cuentas]
"En ese momento, no teníamos evidencia que sugiriera que alguien se había aprovechado de la vulnerabilidad", explicó Twitter. Sin embargo, a mediados de julio, la compañía se entera a través de Restore Privacy que se está vendiendo en internet una base de datos de 5,4 millones de cuentas nacida de esta vulnerabilidad por 30.000 dólares. Antes de que se acabe el año el impacto de esa brecha es infinitamente mayor con este nuevo anuncio.
En su momento, la empresa aconsejó a los usuarios, que reforzarán los pasos para iniciar sesión habilitando la autentificación de dos factores y que no agregaran un número de teléfono o una dirección de correo electrónico conocidos públicamente a su cuenta de Twitter. Aunque no se ha filtrado ninguna contraseña, siempre se recomienda cambiarla tras un suceso de este tipo. La web Have i been pwned?, permite comprobar si algún dato privado se ha visto expuesto en alguna filtración de internet.
El rescate
"Twitter o Elon Musk, si está leyendo esto, ya se está arriesgando a una multa de GDPR por más de 5,4 millones de infracciones que representan la multa de 400 millones de fuentes de infracciones de usuarios", escribió Ryushi en una publicación del foro.
No es una advertencia, sino un chantaje. "Su mejor opción para evitar pagar $ 276 millones de dólares en multas por incumplimiento de GDPR como lo hizo Facebook (por un robo de 533 millones de usuarios) es comprar estos datos exclusivamente".
El pirata informático Ryushi intentará primero vender el conjunto de datos exclusivamente a Twitter por 200.000 dólares a cambio de eliminar después la información. De no conseguirlo, amenaza con vender copias a varias personas por 60.000 dólares (56.265 euros) cada una. Twitter no parece haber respuesta aún a la llamada de este hacker.
Este nuevo problema surge cuando un organismo de control de la privacidad de la UE, la Comisión de Protección de Datos de Irlanda (DPC), ha iniciado una investigación sobre la reciente publicación de los 5,4 millones de registros de usuarios robados en esta vulnerabilidad.