Lo que realmente significa la filtración de 200 millones de correos electrónicos de Twitter

Después de los informes a fines de 2022 de que los piratas informáticos estaban vendiendo datos robados de 400 millones de usuarios de Twitter, los investigadores ahora dicen que es probable que un tesoro de direcciones de correo electrónico ampliamente circulado asociado con aproximadamente 200 millones de usuarios sea una versión redactada de la colección más grande con la eliminación de Entradas duplicadas. La red social aún no ha comentado sobre la exposición masiva, pero el caché de datos muestra cuán grave fue la filtración y quién podría estar en mayor riesgo como resultado.

Desde junio de 2021 hasta enero de 2022, hubo un error en la interfaz de programación de aplicaciones de Twitter, o API, que permitió a los atacantes enviar información de contacto, como direcciones de correo electrónico, y recibir a cambio la cuenta de Twitter asociada, si la hubiera. Antes de que se reparara, los atacantes aprovecharon la falla para «raspar» datos de la red social. Y aunque el error no permitió que los piratas informáticos accedieran a contraseñas u otra información confidencial como mensajes directos, expuso la comunicación entre las cuentas de Twitter, que a menudo son seudónimos, y sus direcciones de correo electrónico y números de teléfono asociados, lo que podría conducir a la identificación del usuario.

Mientras estaba en vivo, la vulnerabilidad aparentemente fue explotada por múltiples actores para construir diferentes conjuntos de datos. Uno que ha estado circulando en foros criminales desde el verano incluía las direcciones de correo electrónico y los números de teléfono de Cerca de 5,4 millones de usuarios de Twitter. El mega grupo recién aparecido parece contener solo direcciones de correo electrónico. Sin embargo, la circulación de datos a gran escala crea el riesgo de que provoque ataques de phishing, intentos de robo de identidad y otros ataques individuales.

Twitter no respondió a las solicitudes de comentarios de WIRED. empresa libros Acerca de la vulnerabilidad de API en la divulgación de agosto: «Cuando nos dimos cuenta de esto, inmediatamente investigamos y lo solucionamos. En ese momento, no teníamos evidencia que sugiriera que alguien había explotado la vulnerabilidad». Aparentemente, la telemetría de Twitter no fue suficiente para detectar el raspado malicioso.

Twitter no es la primera plataforma en exponer los datos para el raspado masivo a través de una falla de API, y es común en tales escenarios tener Confusión sobre cuántos conjuntos de datos distintos existen realmente resultado de una explotación maliciosa. Sin embargo, estos incidentes siguen siendo significativos, ya que agregan más conexiones y validación al cuerpo masivo de datos robados que ya están presentes en el ecosistema criminal sobre los usuarios.

«Obviamente, hay muchas personas que estaban al tanto de esta vulnerabilidad de API y muchas personas que la eliminaron. ¿Diferentes personas rasparon cosas diferentes? ¿Cuántos entierros hay? No importa. Hunt digirió el conjunto de datos de Twitter de HaveIBeenPwned y dijo que representaba información sobre más de 200 millones de cuentas. El noventa y ocho por ciento de las direcciones de correo electrónico ya habían sido expuestas en infracciones anteriores registradas por HaveIBeenPwned. Hunt dice que envió notificaciones por correo electrónico a casi 1,064,000 de los 4,400,000 millones de suscriptores de correo electrónico a su servicio.

«Es la primera vez que envío un correo electrónico de siete dígitos», dice. «Casi una cuarta parte de mi número total de suscriptores es realmente importante. Pero dado que mucho de esto ya estaba disponible, no creo que sea un incidente con una cola larga en términos de impacto. Querían mantener su privacidad .»

Twitter escribió en agosto que compartía esta preocupación sobre la posibilidad de que las cuentas de usuarios seudónimos se vinculen con sus identidades reales como resultado de la vulnerabilidad de la API.

«Si opera una cuenta de Twitter seudónima, entendemos los riesgos que puede plantear un incidente como este y lamentamos profundamente que esto haya sucedido», escribió la compañía. Para mantener su identidad lo más anónima posible, le recomendamos que no agregue un número de teléfono o una dirección de correo electrónico conocida públicamente a su cuenta de Twitter.

Sin embargo, para los usuarios que aún no han vinculado sus identificadores de Twitter a cuentas de correo electrónico desechables en el momento del raspado, el consejo llega demasiado tarde. En agosto, la red social dijo que había informado de la situación a las personas potencialmente afectadas. La compañía no dijo si proporcionaría más avisos a la luz de los cientos de millones de registros expuestos.

Comisión de Protección de Datos de Irlanda Él dijo El mes pasado estaba investigando un incidente que expuso 5,4 millones de direcciones de correo electrónico y números de teléfono a los usuarios. Twitter también está siendo investigado actualmente por la Comisión Federal de Comercio de EE. UU. sobre si la empresa violó un «decreto de consentimiento» que requería que Twitter mejorara la privacidad de los usuarios y las medidas de protección de datos.

Esta historia apareció originalmente Wired.com.