Actores de amenazas están explotando una vulnerabilidad de Twitter descubierta en enero para obtener acceso a datos de cuentas privadas. La información supuestamente proviene de 5,4 millones de usuarios. Twitter ha parcheado la vulnerabilidad, aunque la base de datos supuestamente adquirida a partir de este exploit ahora se vende en un popular foro de piratería.
En una publicación realizada el jueves, hackeruno informó una vulnerabilidad que permitía a los atacantes adquirir números de teléfono y/o direcciones de correo electrónico asociadas con cuentas de Twitter. Esto es así independientemente de si el usuario ha ocultado o no esta información a través de la configuración de privacidad.
La vulnerabilidad de Twitter filtra datos privados de los usuarios
Restaurar privacidad informa que el error era específico para Android de Twitter cliente y ocurrió durante el proceso de autorización de Twitter. hackeruno El usuario “zhrionskiy” envió un informe de error el 1 de enero de este año.
A hackeruno el usuario declaró,
Además, el hackeruno El informe también explica cómo replicar la vulnerabilidad y adquirir datos del usuario. Cinco días después de la publicación del informe, Twitter reconoció que se trataba de un “problema de seguridad válido” y prometió investigar. Twitter finalmente solucionó el problema y zhrinovskiy recibió una recompensa de 5.040 dólares.
Sin embargo, tal como se predijo, alguien comenzó a vender la información de Twitter.
Restaurar privacidad informa que un usuario de un famoso foro de piratería está vendiendo una base de datos de Twitter que supuestamente consta de 5,4 millones de usuarios. El usuario se hace llamar “diablo” y afirma que el conjunto de datos incluye celebridades, empresas, randoms, “OG” y más. El propietario de los foros ha verificado que la información era veraz y procedía de la vulnerabilidad.
El vendedor pide 30.000 dólares por la base de datos. Además, Restaurar privacidad Obtuve una muestra parcial de la base de datos y pude verificar que vincula a personas reales.
Twitter está pasando por muchas cosas estos días y esto ciertamente no ayuda. En este momento, no hay forma de verificar si su información forma parte o no de la base de datos. Manténgase protegido al no abrir ningún enlace enviado por correo electrónico. Además, utilice sus propios marcadores y esté atento a los ataques de phishing.
