7 millones de perfiles de Twitter publicados

Más de 5,4 millones de registros de usuarios de Twitter que contienen información no pública robada mediante una vulnerabilidad de API reparada en enero se han compartido de forma gratuita en un foro under. Los datos consisten en información pública recopilada, así como números de teléfono privados y direcciones de correo electrónico que no deben ser públicas.

Además de los 5,4 millones de registros a la venta, también hubo 1,4 millones de perfiles de Twitter adicionales para usuarios suspendidos recopilados mediante una API diferente, lo que eleva el total a casi 7 millones de perfiles de Twitter que contienen información privada. Pompompurin dijo que este segundo volcado de datos no se vendió y solo se compartió de forma privada entre unas pocas personas.

Un investigador de seguridad también reveló otro volcado de datos masivo, potencialmente más significativo, de millones de registros de Twitter, lo que demuestra cuán ampliamente abusaron de este error los actores de amenazas.

En julio pasado, un actor de amenazas comenzó a vender la información privada de más de 5,4 millones de usuarios de Twitter en un foro por 30.000 dólares. Si bien la mayoría de los datos consistía en información pública, como ID de Twitter, nombres, nombres de inicio de sesión, ubicaciones y estado verificado, también incluía información privada, como números de teléfono y direcciones de correo electrónico.

Estos datos se recopilaron en diciembre de 2021 mediante una vulnerabilidad de la API de Twitter revelada en el programa de recompensas de HackerOne que permitía a las personas enviar números de teléfono y direcciones de correo electrónico a la API para recuperar la ID de Twitter asociada.

Usando esta identificación, los actores de la amenaza podrían extraer información pública sobre la cuenta para crear un registro de usuario que contenga información pública y privada, como se muestra a continuación.

No está claro si se filtró la divulgación de HackerOne, pero BleepingComputer dice que varios actores de amenazas estaban utilizando el error para robar información privada de Twitter. Después de que BleepingComputer compartiera una muestra de los registros de usuarios con Twitter, la empresa de redes sociales confirmó que había sufrido una violación de datos mediante un error de API solucionado en enero de 2022.

Pompompurin, el propietario del foro de hacking Breached, le dijo a BleepingComputer este fin de semana que ellos eran los responsables de explotar el error y crear el volcado masivo de registros de usuarios de Twitter después de que otro actor de amenazas conocido como 'Devil' compartiera la vulnerabilidad con ellos.

En septiembre, y ahora más recientemente, el 24 de noviembre, los 5,4 millones de registros de Twitter ya se han compartido de forma gratuita en el foro. Pompompurin ha confirmado a BleepingComputer que estos son los mismos datos que estaban a la venta en agosto e incluyen 5.485.635 registros de usuarios de Twitter.

Estos registros contienen una dirección de correo electrónico privada o un número de teléfono y datos recopilados públicos, incluidos el ID de Twitter de la cuenta, el nombre, el nombre de pantalla, el estado verificado, la ubicación, la URL, la descripción, el número de seguidores, la fecha de creación de la cuenta, el número de amigos, el número de favoritos, recuento de estados y URL de imagen de perfil.

Si bien es preocupante que los actores de amenazas publicaron los 5,4 millones de registros de forma gratuita, supuestamente se creó un volcado de datos aún mayor utilizando la misma vulnerabilidad.

Este volcado de datos contiene potencialmente decenas de millones de registros de Twitter que consisten en números de teléfono personales recopilados con el mismo error de API e información pública, incluido el estado verificado, nombres de cuenta, ID de Twitter, biografía y nombre de pantalla.

La noticia de esta violación de datos más significativa proviene del experto en seguridad Chad Loder, quien primero dio la noticia en Twitter y fue suspendido poco después de publicar. Posteriormente, Loder publicó una muestra redactada de esta violación en Mastodon.

BleepingComputer obtuvo un archivo de muestra de este volcado de datos de Twitter previamente desconocido, que contiene 1.377.132 números de teléfono para usuarios en Francia. Desde entonces, hemos confirmado con numerosos usuarios en esta filtración que los números de teléfono son válidos, verificando que esta violación de datos adicional sea real. Además, ninguno de estos números de teléfono está presente en los datos originales vendidos en agosto.

Pompompurin también confirmó con BleepingComputer que no eran responsables y que no sabían quién creó este volcado de datos recién descubierto, lo que indica que otras personas estaban usando esta vulnerabilidad de API.

BleepingComputer se enteró de que este volcado de datos recientemente descubierto consta de numerosos archivos divididos por países y códigos de área, incluidos Europa, Israel y EE. UU.

El archivo consta de más de 17 millones de registros y estos datos se pueden utilizar potencialmente para ataques de phishing dirigidos a obtener acceso a las credenciales de inicio de sesión, es esencial analizar cualquier correo electrónico que afirme provenir de Twitter.

Fuente: BC

Suscríbete a nuestro Boletín