Soluciones Integrales de Seguridad

Si todavía no eres cliente y necesitas información sobre nuestros servicios profesionales, consultoría y soluciones de seguridad, asistencia técnica, información sobre partners o cualquier otra duda, ponte en contacto con nosotros.

Si se trata de un Incidente de Seguridad,
te recomendamos que lo hagas vía telefónica

Filtración de datos de 5,4 millones de usuario de Twitter
Twitter ha sufrido una filtración de datos después de que los atacantes usaran una vulnerabilidad para crear una base de datos de números de teléfono y direcciones de correo electrónico pertenecientes a 5,4 millones de cuentas, y los datos ahora están a la venta en un foro por 30.000 dólares.

Ayer, un actor de amenazas conocido como “devil” dijo en un mercado de datos robados que la base de datos contiene información sobre varias cuentas, incluidas celebridades, empresas y usuarios aleatorios.

Hola, hoy les presento los datos recopilados sobre múltiples usuarios que usan Twitter a través de una vulnerabilidad (5.485.636 usuarios para ser exactos). Estos usuarios van desde celebridades hasta empresas, aleatorios, OG, etc."

Twitter-hack-data-breach-for-sale-
En una conversación con el atacante, dijo que “usaron una vulnerabilidad para recopilar los datos en diciembre de 2021. Ahora están vendiendo los datos por U$S 30.000 y que los compradores interesados ​​ya se han acercado a ellos”.

Como informó por primera vez Restore Privacy, la vulnerabilidad utilizada para recopilar los datos es la misma que se reveló a Twitter a través de HackerOne el 1 de enero y se corrigió el 13 de enero.
“La vulnerabilidad permite que cualquier parte sin ninguna autenticación obtenga una ID de Twitter (que es casi igual a obtener el nombre de usuario de una cuenta) de cualquier usuario enviando un número de teléfono/correo electrónico a pesar de que el usuario ha prohibido esta acción en la configuración de privacidad”, se lee en la divulgación de vulnerabilidades del investigador de seguridad “zhirinovskiy”. “El error existe debido al proceso de autorización utilizado en el Cliente Android de Twitter, específicamente en el proceso de verificación de la duplicación de una cuenta de Twitter”.

Sin embargo, Devil le dijo a BleepingComputer que no están afiliados a zhirinovskiy y que nunca han usado HackerOne.

Esta vulnerabilidad es similar a la que permitió realizar scrapping a Facebook sobre 533 millones de usuarios en 2021.

Datos filtrados verificados

Hasta el momento Twitter no ha confirmado la violación de datos y dijo que están investigando la autenticidad de las afirmaciones. “Estamos revisando los datos recientes para verificar la autenticidad de los reclamos y garantizar la seguridad de las cuentas en cuestión”.
Twitter-email-hack-database-leak
Sin embargo, BleepingComputer verificó con algunos de los usuarios de Twitter enumerados en una pequeña muestra de datos compartidos por el atacante que la información privada (direcciones de correo electrónico y números de teléfono) es precisa. Dado que solo se puedo verificar una pequeña cantidad de usuarios enumerados en los datos extraídos, es imposible decir si las 5,4 millones de cuentas vendidas son válidas.

Aunque la mayoría de los datos que se venden están disponibles públicamente, los atacantes pueden usar las direcciones de correo electrónico y los números de teléfono en ataques de phishing dirigidos.

Por lo tanto, todos los usuarios de Twitter deben estar atentos al recibir correos electrónicos (falsos) de Twitter, especialmente si le piden que ingrese las credenciales de inicio de sesión, lo que los usuarios solo deben hacer en el sitio real.

Si bien los dtos (aún) no han sido publicados de forma abierta, se recomienda cambiar la contraseña y activar el 2FA en la cuenta de Twitter.

Comparte este artículo para mejorar la calidad del blog…

WhatsApp
Facebook
Twitter
LinkedIn
Telegram
Email

Continúa leyendo…

Contenido patrocinado…

Data Center Virtual
Servidores Tier IV situados en España

Completo Data Center Virtual, fácil e intuitivo desde el primer día, sin formación, potente red SDN, almacenamiento a medida, backups y snapshots, monitorización avanzada y mucho más...

AFS Informática como
Marca Blanca

Ofrece y externaliza nuestros servicios de Seguridad. Nunca contactaremos con tus clientes. Especial para gestorías, asesorías, bufetes de abogados, comerciales independientes, grandes empresas, etc...

AFS Informática - Ejercicios de Red Team

¿Has sido o estás siendo víctima de una estafa o ataque informático?

Solicita un

Perito Informático

  • Responsable de los datos: Diego Ariza Cívico (AFS Informática)
  • Finalidad de los datos: El desarrollo de actividades y prestación de información sobre servicios y productos de Diego Ariza Cívico (AFS Informática)
  • Legitimación: Tu consentimiento
  • Almacenamiento de los datos: Base de datos alojada en SiteGround Spain S.L. (UE)
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: En cualquir momento puedes acceder, limitar, recuperar y borrar tu información
  • Contacto RGPD: [email protected]

Solicita una reunión gratuita con un experto

¿Has encontrado lo que buscabas?

Si no lo has encontrado, solicita GRATIS una reunión con un asesor