febrero 21, 2024

Blog de Habeas Data

Encuentra toda la información nacional e internacional sobre españa. Seleccione los temas sobre los que desea saber más

La alternativa de Twitter Spoutible aparece con una filtración masiva

La alternativa de Twitter Spoutible aparece con una filtración masiva

El consultor de seguridad y creador de Have I Been Pwned, Troy Hunt, ha detallado una vulnerabilidad en la API de Spoutible, una plataforma social que surgió tras la adquisición de Twitter por parte de Elon Musk, que podría permitir a los piratas informáticos tomar el control total de las cuentas de los usuarios.

Después de que alguien alertó a Hunt sobre la vulnerabilidad, Descubra que los piratas informáticos pueden explotarlo API Spoutible para obtener el nombre, el nombre de usuario y la biografía de un usuario, así como su correo electrónico, dirección IP y número de teléfono. Desde entonces, Spoutible ha abordado la vulnerabilidad, Escribiendo en una publicación en su sitio. No filtraron contraseñas descifradas ni mensajes directos, confirmando que «la información robada incluía direcciones de correo electrónico y algunos números de teléfonos móviles». Ha invitado a cualquiera que todavía quiera volver a utilizar el servicio a asistir a una «sesión especial» a la 1 p.m. ET. Tanto Spoutible como Hunt recomiendan a los usuarios cambiar sus contraseñas y restablecer la autenticación de dos factores.

Como mencionó Hunt, esto no es del todo infrecuente, como hemos visto en incidentes similares de robo de datos en plataformas como Facebook y Trelo.

Sin embargo, Hunt descubrió algo aún más preocupante: los malos actores también podrían utilizar la vulnerabilidad para obtener una copia hash de las contraseñas de los usuarios. Aunque está protegido con bcrypt, las contraseñas cortas o débiles pueden ser bastante fáciles de descifrar, y el servicio ha impedido que las personas establezcan contraseñas más largas y difíciles de descifrar.

Además, Hunt descubrió que la API devolvía el código de autenticación de dos factores (2FA) utilizado para iniciar sesión en la cuenta de alguien, así como códigos de restablecimiento generados para ayudar al usuario a cambiar una contraseña olvidada. Esto podría permitir a los piratas informáticos acceder fácilmente a la cuenta de alguien y secuestrarla sin alertarlos de la infracción.

READ  ¿Adónde fueron todos los trabajadores? Los economistas dicen que no culpen a COVID

Según Hunt, la vulnerabilidad expuso los correos electrónicos de unos 207.000 usuarios. Esos son prácticamente todos en toda la plataforma, como Informe de junio de 2023 de cableado Señaló que Spoutible tenía 240.000 usuarios.