El consultor de seguridad y creador de Have I Been Pwned, Troy Hunt, ha detallado una vulnerabilidad en la API de Spoutible, una plataforma social que surgió tras la adquisición de Twitter por parte de Elon Musk, que podría permitir a los piratas informáticos tomar el control total de las cuentas de los usuarios.
Después de que alguien alertó a Hunt sobre la vulnerabilidad, Descubra que los piratas informáticos pueden explotarlo API Spoutible para obtener el nombre, el nombre de usuario y la biografía de un usuario, así como su correo electrónico, dirección IP y número de teléfono. Desde entonces, Spoutible ha abordado la vulnerabilidad, Escribiendo en una publicación en su sitio. No filtraron contraseñas descifradas ni mensajes directos, confirmando que «la información robada incluía direcciones de correo electrónico y algunos números de teléfonos móviles». Ha invitado a cualquiera que todavía quiera volver a utilizar el servicio a asistir a una «sesión especial» a la 1 p.m. ET. Tanto Spoutible como Hunt recomiendan a los usuarios cambiar sus contraseñas y restablecer la autenticación de dos factores.
Como mencionó Hunt, esto no es del todo infrecuente, como hemos visto en incidentes similares de robo de datos en plataformas como Facebook y Trelo.
Sin embargo, Hunt descubrió algo aún más preocupante: los malos actores también podrían utilizar la vulnerabilidad para obtener una copia hash de las contraseñas de los usuarios. Aunque está protegido con bcrypt, las contraseñas cortas o débiles pueden ser bastante fáciles de descifrar, y el servicio ha impedido que las personas establezcan contraseñas más largas y difíciles de descifrar.
Además, Hunt descubrió que la API devolvía el código de autenticación de dos factores (2FA) utilizado para iniciar sesión en la cuenta de alguien, así como códigos de restablecimiento generados para ayudar al usuario a cambiar una contraseña olvidada. Esto podría permitir a los piratas informáticos acceder fácilmente a la cuenta de alguien y secuestrarla sin alertarlos de la infracción.
Según Hunt, la vulnerabilidad expuso los correos electrónicos de unos 207.000 usuarios. Esos son prácticamente todos en toda la plataforma, como Informe de junio de 2023 de cableado Señaló que Spoutible tenía 240.000 usuarios.
«Jugador. Wannabe evangelista de la cerveza. Practicante de la cultura pop. Amante de los viajes. Defensor de las redes sociales».
More Stories
Poilievre dice que Singh elige Loblaws porque su hermano trabaja en Metro
Los poseedores de Dogecoin aumentan su participación en un 1%: ¿265,86 millones de razones para comprar DOGE?
Los ríos están retrocediendo mientras Columbia Británica enfrenta la posibilidad de una sequía en «territorio desconocido».