Se filtran los datos de 5,4 millones de cuentas de Twitter

Twitter ha reconocido que la red social de microblogging ha sido víctima de una brecha de datos mediante la cual se han filtrado los detalles de 5,4 millones de cuentas de usuario, entre ellos los números de teléfono. Las cuentas de correo electrónico también han sido filtradas, y si bien eso no es muy grave en un principio, sí da a los actores maliciosos la posibilidad de llevar a cabo campañas de spam o de probar con ataques de fuerza bruta (probar contraseñas una a una hasta dar con la correcta).

El origen de la brecha fue detectado o al menos publicado por HackerOne hace unos meses, más concretamente el 1 de enero del presente año. El medio Restore Privacy explica que el actor malicioso explotó una vulnerabilidad que estaba presente en la aplicación de Twitter para Android y consiguió acceso para hacerse con los datos de 5,4 millones de cuentas. Además de eso, la base de datos que los contenía está siendo vendida desde ayer a través de un conocido foro de hacking, Breached Forums, al precio de 30.000 dólares.

Merece la pena mencionar que el usuario que está vendiendo la base de datos usa ‘devil’ (demonio o diablo) como nick y explica el origen del producto en la “incompetencia de Twitter”, dando a entender que los responsables de la red social no han hecho bien los deberes a la hora de proteger los datos de sus usuarios.

‘zhirinovskiy’, el usuario de HackerOne que reportó el 1 de enero la vulnerabilidad presente en la aplicación de Twitter para Android, ha explicado que “esta es una amenaza grave, ya que las personas no solo pueden encontrar usuarios que han restringido la capacidad de ser encontrados por correo electrónico/número de teléfono, sino que cualquier atacante con un conocimiento básico de secuencias de comandos/codificación puede enumerar una gran parte de la base de usuarios de Twitter que no está disponible para enumeración previa (crear una base de datos con conexiones de teléfono/correo electrónico a nombre de usuario). Dichas bases se pueden vender a partes malintencionadas con fines publicitarios o para identificar a celebridades en diferentes actividades maliciosas”.

Twitter, por su parte, tardó cinco días en responder, posiblemente porque se tomó su tiempo para verificar la información publicada por ‘zhirinovskiy’. Tras reconocer el bug y trabajar en un parche que corrigiera la vulnerabilidad, la compañía recompensó al usuario de HackerOne con 5.040 dólares.

Como ya hemos dicho, entre los datos filtrados hay números de teléfono y direcciones de correo electrónico, los cuales han sido obtenidos incluso si el usuario los ha marcado como ocultos. Entre las cuentas afectadas, según ‘devil’, hay algunas pertenecientes a celebridades y empresas. El propietario de Breach Forums ha verificado la autenticidad de la filtración y que su origen está en la vulnerabilidad publicada en HackerOne.

Como medida de precaución, desde MuyComputer recomendamos encarecidamente el cambio de la contraseña para acceder a Twitter y la del correo electrónico si no es especialmente fuerte (si se emplea un gestor, lo suyo sería cambiarla sí o sí). El número de teléfono no tiene tanto arreglo, así que en caso extremo lo recomendable sería cambiarlo en si se detecta una gran cantidad de actividad sospechosa (como por ejemplo ser bombardeado con spam o acosado telefónicamente).