La información de más de 5 millones usuarios de Twitter, ya está a la venta en un foro de piratería. Los datos se filtraron debido a una falla de seguridad de la red social que fue reportada desde enero del presente año
De acuerdo con Restore Privacy, portal especializado que difundió la información, el hacker que ofrece la base de datos pide un pago de al menos 30 mil dólares por ella.
Según la descripción de la oferta, se trata de información de 5 millones 485 mil 636 usuarios de la red social, entre los cuales se encuentran celebridades y compañías. Asimismo, se describe que entre los datos están números telefónicos y correos electrónicos utilizados para el inicio de sesión.
El dueño de Breach Forums confirmó la autenticidad de los datos filtrados y confirmó que se obtuvieron debido a la falla en el sistema de seguridad de la red social. Dicha vulnerabilidad fue advertida por el usuario @zhirinovskiy de la plataforma HackerOne, quien a principios de año compartió con Twitter la situación.
El error fue detectado en el proceso de autorización para usuarios con dispositivos Android. Específicamente en el proceso para comprobar la duplicación de una cuenta.
A través de un reporte, también publicado en HackerOne, quien hizo el descubrimiento lanzó una advertencia:
“La vulnerabilidad permite a cualquier parte, sin ningún tipo de autenticación, obtener un ID de Twitter (que es casi igual a obtener el nombre de usuario de una cuenta) de cualquier usuario mediante el envío de un número de teléfono/correo electrónico aunque el usuario haya prohibido esta acción en la configuración de privacidad”.
Días después de que se hizo público este error, un miembro del equipo Twitter aseguró que realizarían una investigación al respecto y solicitó al autor del reporte mantener privados los detalles del mismo, hasta que el asunto fuera investigado por completo.
Como especialistas y profesionales dedicados a la ciberseguridad, nos preguntamos por qué no se tomaron las medidas correctivas y/o mitigación para solucionar la vulnerabilidad. Cual fue el proceso que no se cumplió y/o la política interna que no logró visibilizar o dar seguimiento a este grave problema de confidencialidad de los datos.
Como dicen, existen dos tipos de empresas, las que han sido hackeadas y las que en algún momento van a hackear.