Expuestos los datos (e-mail y teléfono) de 5,4 millones de cuentas de Twitter

Un actor de amenazas explotó una vulnerabilidad verificada de Twitter de enero para obtener datos de cuentas supuestamente de 5,4 millones de usuarios. Si bien Twitter corrigió la vulnerabilidad entonces, la base de datos supuestamente adquirida a partir de este exploit ahora se vende en el popular foro de Breach Forums (sucesor del infame foro Raid Forums). Por suerte los datos filtrados no incluyen la contraseña, con lo que no es necesaria cambiarla. Los datos filtrados privados son el e-mail y el teléfono.

• Twitter confirma oficialmente el uso del día cero que expusieron los datos de 5,4 millones de cuentas

Vulnerabilidad en Twitter expuso datos de 5,4 millones de cuentas

En enero, se realizó un informe en HackerOne de una vulnerabilidad que permite a un atacante obtener el número de teléfono y/o la dirección de correo electrónico asociados con las cuentas de Twitter, incluso si el usuario ha ocultado estos campos en la configuración de privacidad.

• El error era específico del cliente de Android de Twitter y ocurrió con el proceso de autorización de Twitter.

El usuario de HackerOne "zhirinovskiy" envió el informe de error el 1 de enero de este año. Describió las consecuencias potenciales de esta vulnerabilidad como una amenaza grave que podría ser explotada por los actores de amenazas.

Esta es una amenaza grave, ya que las personas no solo pueden encontrar usuarios que han restringido la capacidad de ser encontrados por correo electrónico/número de teléfono, sino que cualquier atacante con un conocimiento básico de secuencias de comandos/codificación puede enumerar una gran parte de la base de usuarios de Twitter que no está disponible para enumeración previa (crear una base de datos con conexiones de teléfono/correo electrónico a nombre de usuario). Dichas bases se pueden vender a partes malintencionadas con fines publicitarios o para identificar a celebridades en diferentes actividades maliciosas.

• https://hackerone.com/reports/1439026

Posteriormente, el informe de HackerOne establece exactamente cómo replicar la vulnerabilidad y adquirir los datos de una cuenta de Twitter específica.

• El atacante descubrió que al enviar un correo electrónico o número de teléfono a la plataforma, esta le indicaba si esos datos estaban asociados a una cuenta de Twitter y su ID

Cinco días después de publicar el informe, el personal de Twitter reconoció que se trataba de un "problema de seguridad válido" y prometió investigar más a fondo. Después de investigar más a fondo el problema y trabajar para corregir la vulnerabilidad, Twitter otorgó al usuario zhirinovskiy una recompensa de $ 5,040.

Twitter reconoció la vulnerabilidad y otorgó una recompensa al usuario de HackerOne.

Sin embargo, vemos que las consecuencias de esta vulnerabilidad se hacen realidad.

A la venta base de datos de 5,4 millones de usuarios de Twitter

Exactamente como lo describió el usuario de HackerOne, zhirinovskiy, en el informe inicial de enero, un actor de amenazas ahora está vendiendo los datos supuestamente adquiridos de esta vulnerabilidad.

Un  usuario vendía la base de datos de Twitter en Breached Forums, el famoso foroque atrajo la atención internacional a principios de este mes con una violación de datos que expuso a más de mil millones de residentes chinos.

La publicación todavía está activa ahora con la base de datos de Twitter que supuestamente consta de 5,4 millones de usuarios a la venta. El vendedor en el foro de piratería utiliza el nombre de usuario "devil" y afirma que el conjunto de datos incluye "Celebridades, empresas, aleatorios, OG, etc.".

Unas horas después de que se hiciera la publicación, el propietario de Breach Forums verificó la autenticidad de la filtración y también señaló que se extrajo a través de la vulnerabilidad del informe de HackerOne anterior.

El usuario de Breach Forums que vende la base de datos también publicó una muestra de los datos. Descargamos la base de datos en formato csv de muestra para su verificación y análisis. Incluye personas de todo el mundo, con información de perfil público, así como el correo electrónico o el número de teléfono del usuario de Twitter utilizado con la cuenta.

A continuación se muestran dos ejemplos de la base de datos que examinamos. Todas las muestras que analizamos coinciden con personas del mundo real que se pueden verificar fácilmente con perfiles públicos en Twitter.

Se pusieron contacto con el vendedor de esta base de datos para recopilar información adicional.

Explicó que toda la información ya fue divulgada en el informe de HackerOne. El vendedor pide al menos $30,000 por la base de datos, que ahora está disponible debido a la "incompetencia de Twitter", según el vendedor.

Los campos (Datos filtrados) incluyen:

• ID Twitter
• Name
• Screen_Name
• Location
• URL
• Protected
• Followers_count
• Friends_count
• Listed_count
• Created_at
• Profile_image
• Verified
• email
• phone

Fuentes:
https://restoreprivacy.com/twitter-vulnerability-exposes-5-million-accounts/