Los correos electrónicos personales vinculados a 235 millones de cuentas de Twitter pirateadas hace algún tiempo han quedado al descubierto, según el investigador de seguridad israelí Alon Gal, lo que expone a millones de personas a ver comprometidas sus cuentas o expuestas sus identidades si, por ejemplo, han utilizado el sitio de forma anónima para criticar a gobiernos opresores.
Gal, cofundador y director de tecnología de la empresa de ciberseguridad Hudson Rock, escribió esta semana en un post de LinkedIn que la filtración “desgraciadamente dará lugar a muchos hackeos, phishing selectivo y doxxing.”
Aunque no se filtraron las contraseñas de las cuentas, los hackers malintencionados podrían utilizar las direcciones de correo electrónico para intentar restablecer las contraseñas de los usuarios o adivinarlas si se utilizan habitualmente o se reutilizan con otras cuentas. Esto es especialmente peligroso si las cuentas no están protegidas por la autenticación de dos factores, que añade una segunda capa de seguridad a las cuentas protegidas por contraseña haciendo que los usuarios introduzcan un código generado automáticamente para iniciar sesión.
Según los expertos, las personas que utilizan Twitter de forma anónima deberían tener una dirección de correo electrónico dedicada a Twitter que no revele quiénes son y que se utilice únicamente para Twitter.
Aunque el hackeo parece haber tenido lugar antes de que Elon Musk se hiciera cargo de Twitter, la noticia de los correos electrónicos filtrados añade otro quebradero de cabeza al multimillonario, cuyos dos primeros meses al frente de Twitter han sido, como mínimo, caóticos.
Twitter no respondió inmediatamente a un mensaje para hacer comentarios sobre el hackeo.
La noticia de la filtración podría poner a la empresa en problemas con la Comisión Federal de Comercio. La empresa de San Francisco firmó un acuerdo de consentimiento con la agencia en 2011 que la obligaba a solucionar graves fallos en la seguridad de los datos.
Twitter pagó una multa de 150 millones de dólares en mayo, varios meses antes de la adquisición de Musk, por violar la orden de consentimiento. Una versión actualizada establecía nuevos procedimientos que obligaban a la empresa a implantar un programa mejorado de protección de la privacidad y a reforzar la seguridad de la información.
En noviembre, un grupo de legisladores demócratas pidió a los reguladores federales que investigaran cualquier posible violación por parte de la plataforma de las leyes de protección de los consumidores o de sus compromisos de seguridad de datos.
La FTC dijo entonces que estaba “siguiendo con profunda preocupación los recientes acontecimientos en Twitter”, aunque no se ha anunciado ninguna investigación formal. Pero los expertos y los empleados actuales y anteriores de Twitter han venido advirtiendo de los graves riesgos de seguridad derivados de la drástica reducción de personal y el creciente desorden dentro de la empresa.
En agosto, el antiguo jefe de seguridad de Twitter presentó una denuncia en la que alegaba que la empresa había engañado a los reguladores sobre sus deficientes defensas de ciberseguridad y su negligencia a la hora de intentar erradicar las cuentas falsas que difunden desinformación.
Entre las acusaciones más graves de Peiter Zatko está que Twitter violó los términos del acuerdo de 2011 con la FTC al afirmar falsamente que había puesto en marcha medidas más estrictas para proteger la seguridad y la privacidad de sus usuarios.