Un hacker afirma estar vendiendo datos públicos y privados de 400 millones de usuarios de Twitter escrapeados en 2021 utilizando una vulnerabilidad de la API ya corregida. Piden 200.000 dólares por una venta exclusiva.
El supuesto volcado de datos está siendo vendido por un hacker llamado “Ryushi” en el foro de hacking Breached, un sitio comúnmente utilizado para vender datos de usuarios robados en filtraciones de datos.
El autor de la amenaza afirma haber recopilado los datos de más de 400 millones de usuarios únicos de Twitter utilizando una vulnerabilidad. Advirtieron a Elon Musk y a Twitter de que debían comprar los datos antes de que les supusiera una cuantiosa multa en virtud de la legislación europea sobre privacidad GDPR.
“Twitter o Elon Musk si usted está leyendo esto ya se está arriesgando a una multa GDPR más de 5,4 millones de incumplimiento imaginar la multa de 400 millones de usuarios incumplimiento fuente”, escribió Ryushi en un post del foro.
“Su mejor opción para evitar el pago de 276 millones USD en multas GDPR violación como facebook hizo (debido a 533 millones de usuarios que se raspan) es comprar estos datos exclusivamente.”
El actor de la amenaza también enlazaba a un post en el que se explicaba cómo otros actores de la amenaza podrían abusar de estos datos para realizar ataques de phishing, estafas de criptomonedas y ataques BEC.
El post del foro incluye datos de muestra de treinta y siete celebridades, políticos, periodistas, corporaciones y agencias gubernamentales, entre ellos Alexandria Ocasio-Cortez, Donald Trump JR, Mark Cuba, Kevin O’Leary y Piers Morgan. Además, posteriormente se filtró una muestra más amplia de mil perfiles de usuarios de Twitter.
Los perfiles de usuario contienen datos públicos y privados de Twitter, como direcciones de correo electrónico, nombres, nombres de usuario, número de seguidores, fecha de creación y números de teléfono de los usuarios. Aunque todos los perfiles filtrados parecen tener direcciones de correo electrónico asociadas, muchos no tienen números de teléfono.
Aunque casi todos estos datos son de acceso público para cualquier usuario de Twitter, los números de teléfono y las direcciones de correo electrónico son información privada.
El autor de la amenaza, Ryushi, ha declarado a BleepingComputer que está intentando vender los datos de Twitter en exclusiva a una sola persona/Twitter por 200.000 dólares y que después los borrará. Si no se realiza una compra exclusiva, venderán copias a varias personas por 60.000 dólares por venta.
Cuando se les preguntó si se pusieron en contacto con Twitter para pedir un rescate por los datos, dijeron a BleepingComputer que se pusieron en contacto con Twitter e hicieron llamadas, pero no recibieron respuesta.
El actor de la amenaza confirmó a BleepingComputer que recopilaron los números de teléfono privados y las direcciones de correo electrónico utilizando una vulnerabilidad de la API que Twitter corrigió en enero de 2022 y que anteriormente se asoció a una filtración de datos de 5,4 millones de usuarios.
Esta vulnerabilidad permitía a una persona introducir grandes listas de números de teléfono y direcciones de correo electrónico en una API de Twitter y recibir un ID de usuario de Twitter asociado. A continuación, el autor de la amenaza utilizaba este ID con otra IP para recuperar los datos del perfil público de los usuarios, creando un perfil de usuario de Twitter compuesto por datos públicos y privados.
“Obtuve acceso mediante el mismo exploit utilizado para la filtración de 5,4 millones de datos. Hablé con el vendedor y me confirmó que estaba en el flujo de inicio de sesión de Twitter”, dijo el actor de la amenaza a BleepingComputer.
“Así que, en la comprobación de duplicación filtró el userID que convertí usando otra api en nombre de usuario y otra información”.
Aunque Twitter corrigió la vulnerabilidad en enero de 2022, ahora se ha confirmado que ha sido utilizada por múltiples actores de amenazas para extraer información privada de los usuarios de Twitter.
En cuanto a esta nueva filtración, BleepingComputer sólo ha podido confirmar que dos de los perfiles de Twitter filtrados son válidos.
Sin embargo, Alon Gal, de la empresa de inteligencia de amenazas Hudson Rock, ha dicho que han verificado de forma independiente que las muestras filtradas parecen legítimas.
“Por favor, ten en cuenta que en este momento no es posible verificar completamente que haya 400.000.000 de usuarios en la base de datos”, tuiteó Hudson Rock.
“A partir de una verificación independiente, los datos en sí parecen ser legítimos y haremos un seguimiento de cualquier novedad”.
Esta filtración de datos de usuarios de Twitter llega en un mal momento para la compañía de redes sociales, ya que un organismo de control de la privacidad de la UE, la Comisión de Protección de Datos de Irlanda (DPC), ha iniciado una investigación sobre la reciente publicación de los 5,4 millones de registros de usuarios robados en 2021 utilizando esta vulnerabilidad.
Otro actor de amenazas afirmó haber utilizado también esta vulnerabilidad para recopilar los datos de unos supuestos 17 millones de usuarios. Sin embargo, esta filtración sigue siendo privada y no se está vendiendo.
BleepingComputer se puso en contacto con Twitter para preguntarle sobre la venta de estos datos, pero no obtuvo respuesta de inmediato.
Fuente: bleepingcomputer.com
