Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
julio
(Total:
115
)
- IPtables: el firewall de Linux, funcionamiento y e...
- El estado del ransomware en el sector educativo
- Extensión de Google Chrome capaz de robar y espiar...
- Detectadas nuevas apps maliciosas en Google Play d...
- Elon Musk irá a juicio el próximo 17 de octubre tr...
- Falso sitio de "Have I Been Pwned" para robar cred...
- Proteger correctamente la seguridad de una Red WiFi
- Hackean la calefacción de los asientos de los BMW
- Estados Unidos ofrece 10 millones dólares por info...
- Pasos a seguir si un PC se ha infectado por un ran...
- Funciones avanzadas y trucos VLC Media Player
- Rusia compite con China para endurecer la censura ...
- Filtrado código fuente del malware roba billeteras...
- El proyecto No More Ransom cumple 6 años
- Grupo de ransomware LockBit hackea la Agencia Trib...
- Una mujer se entera que tiene un tumor mortal grac...
- Encuentran un Rootkit chino llamado CosmicStrand e...
- Hackear ordenadores mediante cable SATA
- Vulnerabilidad crítica en tiendas PrestaShop explo...
- Autoservicio de McDonald's en Australia todavía us...
- Vulnerabilidad crítica en el gestor de contenidos ...
- A la venta en foro de internet los datos privados ...
- FBI determinó que Huawei podría interrumpir las co...
- Google despide al ingeniero que dijo que la IA ten...
- Un robot rompe, sin querer, el dedo a un niño de s...
- Mejores gestores de descargas para Windows
- Apple llega a un acuerdo pagando 50 millones dólar...
- Elon Musk vendió en secreto los Bitcoin de Tesla e...
- T-Mobile acuerda pagar 350 millones $ a sus client...
- De Mandrake a Mandriva: un paseo por la historia
- El FBI recupera 500 mil dólares de pagos en cripto...
- Expuestos los datos (e-mail y teléfono) de 5,4 mil...
- Windows 11 bloquea por defecto los ataques de fuer...
- Software espionaje de Candiru utilizó un reciente ...
- Encuentran usuario y contraseña incrustado por def...
- En Estados Unidos hackean surtidores para robar ga...
- Google presenta el Pixel 6a por 459 €
- Nintendo advierte de jugar a la Switch con mucho c...
- Minecraft prohíbe los NFT y la tecnología blockchain
- Amazon demanda a 10.000 administradores de grupos ...
- Calavera de Terminator T-800 con IA gracias a una ...
- Detenidas 25 personas por estafar medio millón de ...
- Supuesta app de Android ‘pro-Ucrania’ para realiza...
- Anatomía del ataque de ransomware Conti al gobiern...
- La ola de calor en Reino Unido es tan fuerte que p...
- Modus operandi del ransomware BlackCat
- La red de mensajería Matrix ya cuenta con más de 6...
- Sistema de verificación de SMS de Google
- Vulnerabilidad en plugin WPBakery para WordPress e...
- Albania sufre un ciberataque que bloquea sus servi...
- Rusia multa a Google con 358 millones dólares por ...
- Elon Musk asegura que sus coches eléctricos Tesla ...
- Kalina: el láser ruso que deja ciegos a los satéli...
- Estafados 8 millones de euros a Ayuntamientos , Ho...
- Diferencia entre discos y unidades: NVMe, SATA, M....
- Navegador Tor 11.5 ahora evita la censura en Inter...
- ¿Qué es el UASP o USB attached SCSI?
- Pasos a seguir para recuperar una cuenta de Netfli...
- Ex ingeniero de la CIA condenado por filtrar secre...
- Nuevo malware de Android en la Google Play instala...
- Tras 7 años, resucita el mayor tracker de Torrents...
- El estado de Teams, una herramienta de espionaje a...
- Microsoft advierte de una campaña masiva de Phishi...
- La presidenta del Banco Central Europeo fue el obj...
- Robo millonario a Axie Infinity comenzó con una fa...
- La cadena de hoteles Marriott es hackeada por sext...
- Arrestado por estafar mil millones dólares en hard...
- China está censurando las noticias del robo de la ...
- Bandai Namco confirma ser víctima de un ataque del...
- Facebook bombardea a los enfermos de cáncer con pu...
- Un juez de menores prohíbe hacer un cursillo de in...
- Detenido en Barcelona un falso representante de Ga...
- BMW y el uso abusivo del software como servicio
- Guardia Civil España detiene la red que vació las ...
- Presentan el teléfono Nothing Phone 1
- Vídeos falsos de tenistas para descargar malware y...
- Windows Autopatch ya está disponible
- Calibre 6.0: la navaja suiza de libros electrónico...
- Hackean coches Honda: pueden abrirlos y arrancarlo...
- App's para Android de la Google Play Store con mal...
- Cables SATA: tipos, diferencias y velocidades
- El ISP francés La Poste Mobile víctima del ransomw...
- Snapchat contrata al jefe de la inteligencia de EEUU
- Italia multa a Xiaomi con 3,2 millones por violar ...
- PyPI comienza a exigir 2FA en sus proyectos críticos
- Microsoft revierte bloqueo por defecto de macros e...
- Sigue estancada la compra de Twitter por parte de ...
- Microsoft Pluton limita por hardware el software q...
- Hackean las cuentas de Twitter y YouTube del Ejérc...
- Nuevo grupo de ransomware: RedAlert ataca servidor...
- IA en China permite leer la mente de miembros del ...
- Penas de hasta 1 año de prisión en Japón para quié...
- Cisco Packet Tracer 8
- Black Basta es un nuevo y peligroso grupo de ranso...
- ¿Una ganga en internet? Cae una red que ha estafad...
- Demandan a TikTok después de que dos niñas más mue...
- Meta demanda a una empresa por robar 350.000 perfi...
- Modo Aislamiento, la respuesta de Apple al espiona...
- El tribunal británico demanda a Apple por 1.800 mi...
- Drones submarinos para llevar 200kg de droga de Ma...
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Expuestos los datos (e-mail y teléfono) de 5,4 millones de cuentas de Twitter
Un actor de amenazas explotó una vulnerabilidad verificada de Twitter de enero para obtener datos de cuentas supuestamente de 5,4 millones de usuarios. Si bien Twitter corrigió la vulnerabilidad entonces, la base de datos supuestamente adquirida a partir de este exploit ahora se vende en el popular foro de Breach Forums (sucesor del infame foro Raid Forums). Por suerte los datos filtrados no incluyen la contraseña, con lo que no es necesaria cambiarla. Los datos filtrados privados son el e-mail y el teléfono.
Vulnerabilidad en Twitter expuso datos de 5,4 millones de cuentas
En enero, se realizó un informe en HackerOne de una vulnerabilidad que permite a un atacante obtener el número de teléfono y/o la dirección de correo electrónico asociados con las cuentas de Twitter, incluso si el usuario ha ocultado estos campos en la configuración de privacidad.
- El error era específico del cliente de Android de Twitter y ocurrió con el proceso de autorización de Twitter.
El usuario de HackerOne "zhirinovskiy" envió el informe de error el 1 de enero de este año. Describió las consecuencias potenciales de esta vulnerabilidad como una amenaza grave que podría ser explotada por los actores de amenazas.
Esta es una amenaza grave, ya que las personas no solo pueden encontrar usuarios que han restringido la capacidad de ser encontrados por correo electrónico/número de teléfono, sino que cualquier atacante con un conocimiento básico de secuencias de comandos/codificación puede enumerar una gran parte de la base de usuarios de Twitter que no está disponible para enumeración previa (crear una base de datos con conexiones de teléfono/correo electrónico a nombre de usuario). Dichas bases se pueden vender a partes malintencionadas con fines publicitarios o para identificar a celebridades en diferentes actividades maliciosas.
Posteriormente, el informe de HackerOne establece exactamente cómo replicar la vulnerabilidad y adquirir los datos de una cuenta de Twitter específica.
- El atacante descubrió que al enviar un correo electrónico o número de teléfono a la plataforma, esta le indicaba si esos datos estaban asociados a una cuenta de Twitter y su ID
Cinco días después de publicar el informe, el personal de Twitter reconoció que se trataba de un "problema de seguridad válido" y prometió investigar más a fondo. Después de investigar más a fondo el problema y trabajar para corregir la vulnerabilidad, Twitter otorgó al usuario zhirinovskiy una recompensa de $ 5,040.
Twitter reconoció la vulnerabilidad y otorgó una recompensa al usuario de HackerOne.
Sin embargo, vemos que las consecuencias de esta vulnerabilidad se hacen realidad.
A la venta base de datos de 5,4 millones de usuarios de Twitter
Exactamente como lo describió el usuario de HackerOne, zhirinovskiy, en el informe inicial de enero, un actor de amenazas ahora está vendiendo los datos supuestamente adquiridos de esta vulnerabilidad.
Un usuario vendía la base de datos de Twitter en Breached Forums, el famoso foroque atrajo la atención internacional a principios de este mes con una violación de datos que expuso a más de mil millones de residentes chinos.
La publicación todavía está activa ahora con la base de datos de Twitter que supuestamente consta de 5,4 millones de usuarios a la venta. El vendedor en el foro de piratería utiliza el nombre de usuario "devil" y afirma que el conjunto de datos incluye "Celebridades, empresas, aleatorios, OG, etc.".
Unas horas después de que se hiciera la publicación, el propietario de Breach Forums verificó la autenticidad de la filtración y también señaló que se extrajo a través de la vulnerabilidad del informe de HackerOne anterior.
El usuario de Breach Forums que vende la base de datos también publicó una muestra de los datos. Descargamos la base de datos en formato csv de muestra para su verificación y análisis. Incluye personas de todo el mundo, con información de perfil público, así como el correo electrónico o el número de teléfono del usuario de Twitter utilizado con la cuenta.
A continuación se muestran dos ejemplos de la base de datos que examinamos. Todas las muestras que analizamos coinciden con personas del mundo real que se pueden verificar fácilmente con perfiles públicos en Twitter.
Se pusieron contacto con el vendedor de esta base de datos para recopilar información adicional.
Explicó que toda la información ya fue divulgada en el informe de HackerOne. El vendedor pide al menos $30,000 por la base de datos, que ahora está disponible debido a la "incompetencia de Twitter", según el vendedor.
Los campos (Datos filtrados) incluyen:
- ID Twitter
- Name
- Screen_Name
- Location
- URL
- Protected
- Followers_count
- Friends_count
- Listed_count
- Created_at
- Profile_image
- Verified
- phone
Fuentes:
https://restoreprivacy.com/twitter-vulnerability-exposes-5-million-accounts/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.