Después de que a finales de 2022 se informara de que unos hackers estaban vendiendo los datos robados de 400 millones de usuarios de Twitter, ahora los investigadores afirman que una amplía colección de direcciones de correo electrónico vinculadas a unas 200 millones de cuentas es, probablemente, una versión refinada del conjunto mayor con entradas duplicadas eliminadas. La red social aún no ha hecho comentarios sobre la exposición masiva.
Desde junio de 2021 hasta enero de 2022, se presentó un bug en una interfaz de programación de aplicaciones de Twitter, o API, que permitía a los atacantes enviar cierta información de contacto, como direcciones de correo electrónico, y recibir a cambio la cuenta de Twitter asociada, si la había. Pero antes de que fuera instalado un parche, los hackers explotaron el fallo para ‘raspar’ información de la red social. Y aunque el error no permitía a los hackers acceder a contraseñas u otra información sensible, como mensajes directos, sí dejaba al descubierto la conexión entre las cuentas de Twitter, que a menudo son seudónimos, y las direcciones de correo electrónico y números de teléfono vinculados a estas, lo que podía identificar a los respectivos usuarios.
La amenaza latente de un hackeo a usuarios de Twitter
Mientras estuvo activa, la vulnerabilidad aparentemente fue explotada por múltiples actores para crear diferentes bases de datos. Una de estas, que lleva circulando en foros delictivos desde el verano, incluía las direcciones de correo electrónico y los números de teléfono de unos 5.4 millones de usuarios de Twitter. El enorme conjunto de información que acaba de salir a la luz parece contener únicamente direcciones de e-mail. Sin embargo, la difusión generalizada de los datos crea el riesgo de que se fomenten ataques de phishing, intentos de robo de identidad y otras amenazas digitales contra las personas.
Twitter no ha respondido a las peticiones de comentarios de WIRED. La empresa informó desde agosto sobre la vulnerabilidad de la API en un comunicado : “Cuando nos enteramos de esto, lo investigamos inmediatamente y lo solucionamos”. Al parecer, la telemetría de Twitter no fue suficiente para detectar el ‘raspado’ malicioso. Telemetría es la técnica para recolectar y transmitir datos de una fuente remota.
Twitter no es la primera plataforma que expone los datos que contiene en una filtración masiva a través de un fallo de la API. Es habitual que, en estos casos, haya confusión sobre cuántos fragmentos de información distintos existen realmente como resultado de una explotación maliciosa. Sin embargo, estos incidentes no dejan de ser significativos, porque añaden más conexiones y más validaciones al enorme cuerpo de datos robados que ya existe en el ecosistema delictivo.
"Evidentemente, hay muchas personas que conocían esta vulnerabilidad de la API y varias la aprovecharon. ¿Fueron diferentes personas las que recolectaron datos diferentes? ¿Cuántas colecciones de información hay? Eso no importa", afirma Troy Hunt, fundador del sitio web de rastreo de filtraciones HaveIBeenPwned. Hunt introdujo el conjunto de datos de Twitter en HaveIBeenPwned y asegura que este representaba información sobre más de 200 millones de cuentas. El 98% de las direcciones de correo electrónico ya había sido expuesto en anteriores ataques registrados por HaveIBeenPwned. Y Hunt señala que envió emails de notificación a casi un millón 64 mil de los cuatro millones 400 mil suscriptores de correo electrónico de su servicio.
"Es la primera vez que envío un email a un grupo de siete cifras", destaca, "es realmente significativo que sea casi una cuarta parte de todo mi cuerpo de suscriptores. Pero como estos datos ya se habían filtrado antes, no creo que sea un incidente de mayor impacto. Aunque quizá le robe a la gente su anonimato en la red social. Lo que más me preocupa son las personas que querían mantener su privacidad".
Adiós al anonimato en Twitter
Twitter escribió en agosto que compartía esta preocupación respecto a la posibilidad de que las cuentas seudónimas de los usuarios se vincularan a sus identidades reales como resultado de la vulnerabilidad de la API.
"Si manejas una cuenta seudónima de Twitter, entendemos los riesgos que un incidente como este puede representar y lamentamos profundamente que esto haya ocurrido", escribió la compañía. "Para mantener tu identidad lo más protegida posible, te recomendamos que no añadas un número de teléfono o una dirección de correo electrónico conocidos públicamente a tu cuenta de Twitter."
Sin embargo, para los usuarios que aún no habían vinculado sus cuentas de Twitter a cuentas de correo electrónico en el momento del robo, el consejo llega demasiado tarde. En agosto, la red social declaró que estaba notificando sobre la situación a las personas potencialmente afectadas. La empresa no ha dicho si dará más avisos a los usuarios ante la exposición de los millones de registros.
El Comisionado de Protección de Datos de Irlanda declaró el mes pasado que está investigando el incidente que dio lugar a la filtración de 5.4 millones de direcciones de correo electrónico y números de teléfono de usuarios. Twitter también está siendo investigada por la Comisión Federal de Comercio de Estados Unidos para determinar si la empresa infringió un ‘decreto de consentimiento’ que obligaba a Twitter a mejorar sus medidas de protección de datos y privacidad de los usuarios.
Artículo originalmente publicado en WIRED. Adaptado por Andrei Osornio.