AppleInsider puede ganar una comisión de afiliado en las compras realizadas a través de enlaces en nuestro sitio.
Un hacker ha afirmado recientemente tener los datos de 400 millones de cuentas de Twitter y los está ofreciendo a la venta, aunque las empresas de seguridad están trabajando para verificar los datos.
El volcado de datos, publicado en el foro de hacking Breached por un usuario llamado “Ryushi”, supuestamente contiene datos públicos y privados raspados en 2021 utilizando una vulnerabilidad de la API que ya ha sido corregida. Piden 200.000 dólares por el trove.
Ryushi incluyó datos de muestra en el post para algunas figuras públicas, entre ellas Mark Cuban, Donald Trump Jr, Alexandria Ocasio-Cortez y otros. Direcciones de correo electrónico, nombres, nombres de usuario, recuento de seguidores y números de teléfono son algunos de los datos contenidos en los perfiles de usuario.
El hacker dijo BleepingComputer que querían vender los datos exclusivamente a un comprador y que los borrarían después. Si no se encuentra un comprador, venderán copias a varias personas por 60.000 dólares cada una. Ryushi dijo que se pusieron en contacto con Twitter pero no recibieron respuesta, probablemente porque algunos equipos de la empresa han sido despedidos;
La vulnerabilidad de la API
Ryushi confirmó a BleepingComputer que recopilaron los datos utilizando un error de la API que Twitter corrigió en enero de 2022. La misma vulnerabilidad se asoció anteriormente a otra filtración de datos en 2021.
La vulnerabilidad permite a un atacante insertar listas de números de teléfono y direcciones de correo electrónico en la API y recibir como respuesta los ID de usuario de Twitter asociados.
“Ya he obtenido acceso mediante el mismo exploit utilizado para la filtración de datos de 5,4 millones. Hablé con el vendedor del mismo y me confirmó que estaba en el flujo de inicio de sesión de Twitter”, dijo Ryushi. “Así que, en la comprobación de la duplicación, se filtró el userID que convertí usando otra api a nombre de usuario y otra información.”
Según la empresa de inteligencia de amenazas Hudson Rock, actualmente no es posible verificar por completo que haya 400 millones de usuarios en la base de datos. Sin embargo, dijeron que los datos en sí parecen ser legítimos;
Nota:En estos momentos no es posible verificar plenamente que haya efectivamente 400.000.000 de usuarios en la base de datos.
A partir de una verificación independiente, los datos en sí parecen ser legítimos y haremos un seguimiento de cualquier novedad.
– Hudson Rock (@RockHudsonRock) 24 de diciembre de 2022
Cómo mantenerse a salvo
Para una máxima seguridad, los usuarios de Twitter deberían cambiar la dirección de correo electrónico de su cuenta, especialmente utilizando un servicio como Hide My Email. También es importante no reutilizar contraseñas y generar contraseñas complejas utilizando un gestor de contraseñas como Bitwarden o iCloud Keychain.
Añadir una capa extra de seguridad con la autenticación de dos factores debería ser el siguiente paso. Requiere un código especial de un solo uso para iniciar sesión en una cuenta, además del nombre de usuario y la contraseña. Twitter tiene instrucciones sobre cómo hacerlo.
Los usuarios también deben estar atentos a los correos electrónicos que parezcan sospechosos y evitar hacer clic en enlaces o abrir archivos adjuntos. Por ejemplo, si un correo electrónico contiene un enlace para cambiar la contraseña de Twitter, los usuarios deben navegar manualmente por el sitio web de Twitter y cambiar la información de inicio de sesión en la configuración de la cuenta.