Datos de Twitter filtrados para 5 millones de usuarios compartidos en línea de forma gratuita
Los datos privados de Twitter correspondientes a 5 millones de usuarios se volvieron a compartir en un foro de piratas informáticos el jueves pasado después de que se filtraron por primera vez en julio.
Mientras que la filtración de julio tuvo un precio de 30 000 dólares, la descarga del jueves fue gratuita.
Información privada del usuario revelada
Pompompurin, el propietario del foro de piratería HackerOne, confirmó a BleepingComputer durante el fin de semana que su sitio fue el responsable del volcado de datos inicial.
En diciembre, se descubrió un error en la API de Twitter como parte del programa de recompensas por errores del foro, que permitía a las personas recuperar ID de Twitter específicas al enviar un número de teléfono o una dirección de correo electrónico asociados. Esto permitió a los actores de amenazas crear registros de usuarios en millones de cuentas utilizando información tanto pública como privada.
En julio se recopilaron suficientes datos para que un actor de amenazas comenzara a vender la información privada de 5,4 millones de usuarios por 30.000 dólares en un foro en línea. Estos datos incluían números de teléfono y direcciones de correo electrónico, junto con información pública como nombres, ID de Twitter, ubicaciones, nombres de inicio de sesión y estado verificado.
Además, se produjo una segunda filtración de datos que afectó a 1,4 millones de usuarios suspendidos, lo que elevó el total de perfiles afectados a casi 7 millones.
El lote de datos que afecta a 5,4 millones de usuarios se compartió libremente en un foro de piratería el 24 de noviembre. Según Pompompurin, estos son de hecho los mismos datos que estuvieron a la venta por miles de dólares en julio y agosto.
“Estos registros contienen una dirección de correo electrónico privada o un número de teléfono, y datos recopilados públicos, incluidos el ID de Twitter de la cuenta, el nombre, el nombre de pantalla, el estado verificado, la ubicación, la URL, la descripción, el número de seguidores, la fecha de creación de la cuenta y el número de amigos. , recuento de favoritos, recuento de estados y URL de imagen de perfil”, escribió BleepingComputer.
¿Otra brecha mayor?
Si bien el error de la API que se usó para descubrir los datos se solucionó en enero de 2022, se informó que el mismo exploit se usó para promulgar una violación de datos aún mayor.
El experto en seguridad Chad Loder afirmó lo mismo en Twitter el miércoles pasado, diciendo que había recibido «evidencia» de una violación que afectaba a millones de usuarios estadounidenses y europeos. «El conjunto de datos incluye cuentas verificadas, celebridades, políticos prominentes y agencias gubernamentales», agregó.
La cuenta de Chad Loder se suspendió poco después de publicar sus afirmaciones.
Varias empresas de criptografía, incluidas Celsius y OpenSea, sufrieron una filtración de datos de correo electrónico en julio debido a un empleado descontento de Customer.io, que manejaba las comunicaciones con los clientes de ambas empresas.
La publicación Datos de Twitter filtrados para 5 millones de usuarios compartidos en línea de forma gratuita apareció primero en CryptoPotato.
