En enero de este año, un informe de HackerOne comunicó una vulnerabilidad que permitió a un atacante la adquisición del número de teléfono, la dirección de correo electrónico y la IP de los usuarios de Twitter.
El error era específico de los usuarios Android y ocurrió con el proceso de autorización de la app. 'Zhirinovskiy' (miembro de HackerOne) envió el informe de error el pasado 1 de enero, además, describió las consecuencias de esta vulnerabilidad como una amenaza grave que podría ser explotada por los ciberdelincuentes.
"Es una amenaza grave, ya que las personas no solo pueden encontrar usuarios que han restringido la capacidad de ser encontrados por correo electrónico/número de teléfono, si no que cualquier atacante puede enumerar gran parte de la base de usuarios de Twitter que no está disponible para enumeración previa. Dichas bases se pueden vender a partes malintencionadas con fines publicitarios o para identificar a celebridades en diferentes actividades maliciosas", señala Zhirinovskiy.
El informe de HackerOne establece exactamente cómo replicar la vulnerabilidad y adquirir los datos de una cuenta de Twitter, no obstante, el personal de la aplicación reconoció que se trataba de un problema de seguridad y prometió estudiar el caso. RestorePrivacy indica que "después de investigar más a fondo el problema y trabajar para corregir la vulnerabilidad, Twitter otorgó al usuario zhirinovskiy una recompensa de 5.040 dólares (casi 5.000 euros)".
Zhirinovskiy afirma que "un actor de amenazas ahora está vendiendo los datos supuestamente adquiridos de esta vulnerabilidad", teniendo en cuenta que el propietario de Breach Forums (foro de piratería) verificó la autenticidad de la filtración. RestorePrivacy ha identificado que el usuario puso a la venta la base de datos de 5,4 millones de usuarios en Breached Forums, además, el vendedor se llama 'Diablo'.
La base de datos incluye perfiles públicos, correos electrónicos y números de teléfono. 'Diablo' pide al menos 30.000 dólares por toda la información, mientras tanto, Twitter sigue investigando la situación.
