Piratas informáticos han publicado en Internet nombres de usuario y direcciones de correo electrónico de más de 200 millones de usuarios de Twitter.
Según informes de investigadores de seguridad y medios de comunicación como BleepingComputer, las credenciales se recopilaron a partir de una serie de filtraciones anteriores de Twitter que se remontan a 2021. Aunque la base de datos no incluye las contraseñas de los usuarios, representa, sin embargo, una amenaza para la seguridad de los afectados.
«Esta es una de las filtraciones más significativas que he visto», dijo Alon Gal, cofundador de la firma israelí de ciberseguridad Hudson Rock, en un post que describía el hackeo en LinkedIn. «[Desgraciadamente] dará lugar a muchos hackeos, phishing selectivo y doxxing».
Las estimaciones sobre el número exacto de usuarios afectados por la brecha varían, en parte, debido a la tendencia de este tipo de volcados de datos a gran escala a incluir registros duplicados. Las capturas de pantalla de la base de datos compartidas por BleepingComputer muestran que contiene varios archivos de texto con direcciones de correo electrónico y nombres de usuario de Twitter vinculados, así como los nombres reales de los usuarios (si los compartieron con el sitio), su número de seguidores y las fechas de creación de las cuentas. BleepingComputer afirmó haber «confirmado la validez de muchas de las direcciones de correo electrónico que aparecen en la filtración» y que la base de datos se estaba vendiendo en un foro de piratas informáticos por tan solo 2 dólares.
Troy Hunt, creador del sitio de alertas de ciberseguridad Have I Been Pwned, también analizó la filtración y compartió sus conclusiones en Twitter: «Encontré 211.524.284 direcciones de correo electrónico únicas, parece ser más o menos lo que se ha descrito».
La brecha ya se ha añadido a los sistemas de Have I been Pwned, lo que significa que cualquiera puede visitar el sitio e introducir su dirección de correo electrónico para ver si se incluyó en la base de datos.
Ok folks, I know this Twitter data is in broad circulation now and I’ve had many people send it to me in the last 24 hours, I’ll take a good look at it today and work out how to handle it https://t.co/02LH4jrEQ1
— Troy Hunt (@troyhunt) January 4, 2023
El origen de la base de datos parece remontarse a 2021, informa The Washington Post, cuando unos hackers descubrieron una vulnerabilidad en los sistemas de seguridad de Twitter. El fallo permitía a actores maliciosos automatizar búsquedas de cuentas, introduciendo direcciones de correo electrónico y números de teléfono en masa para ver si estaban asociados a cuentas de Twitter.
Twitter desveló esta vulnerabilidad en agosto de 2022, afirmando que había solucionado el problema en enero de ese año, después de que se informara de él en una recompensa por fallos. La empresa afirmó entonces que «no tenía pruebas que sugirieran que alguien se había aprovechado de la vulnerabilidad», pero los expertos en ciberseguridad ya habían detectado bases de datos de credenciales de Twitter a la venta en julio de ese año. Esta base de datos más reciente de más de 200 millones de cuentas parece tener su origen en esta vulnerabilidad de hace años, que pasó desapercibida para Twitter durante unos siete meses.
La brecha es solo la última debacle de ciberseguridad que afecta a Twitter, que lleva mucho tiempo luchando por proteger los datos de sus usuarios. La empresa ya está siendo investigada por la UE por la brecha (según los primeros informes de julio de 2022) y está siendo investigada por la FTC por fallos de seguridad similares. El pasado agosto, el antiguo jefe de seguridad de Twitter, Peiter «Mudge» Zatko, denunció a la empresa y presentó una queja ante el gobierno estadounidense en la que afirmaba que la empresa estaba encubriendo «deficiencias atroces» en sus defensas de ciberseguridad.