Hacker afirma estar vendiendo datos personales de 400 millones de usuarios de Twitter

Un hacker afirma estar vendiendo los datos personales de Twitter de 400 millones de usuarios, según un informe de prensa.

El individuo afirmó estar vendiendo los datos públicos y privados de más de 400 millones de usuarios de Twitter robados en noviembre de 2021, explotando una vulnerabilidad de la API que no se solucionó hasta enero de 2022.

Aunque Twitter solucionó la vulnerabilidad en enero, parece que múltiples piratas informáticos ya pudieron robar enormes cantidades de información privada de los usuarios antes de que se solucionara.

Los datos contenían información de los usuarios, como sus correos electrónicos, nombres de usuario, fechas de creación de las cuentas y números de teléfono, incluidos los de 37 famosos, políticos, periodistas, empresas y organismos gubernamentales.

El autor de la amenaza, que se hace llamar «Ryushi», declaró en una entrevista con BleepingComputer, un sitio web de noticias sobre seguridad de la información y tecnología, que está exigiendo a Twitter el pago de un rescate de USD 200,000 para evitar que se difundan más datos y posibles multas de los organismos reguladores por filtraciones más amplias.

Según él, ha ofrecido a vender la información personal de nuevo a la plataforma de redes sociales, con la promesa de borrar los datos una vez que se asegure el pago del rescate.

Si no se llega a un acuerdo, las copias de los datos se venderán a varias organizaciones a 60,000 dólares por descarga en el famoso foro «Breached», utilizado habitualmente por los piratas informáticos para vender datos de usuarios robados, según BleepingComputer.

Twitter se enfrenta a una de las peores filtraciones de datos de su historia

El hacker anónimo confirmó que obtuvo los datos privados a través de la filtración de la API de 2021, que también se asoció a una filtración similar confirmada que afectó a 5.4 millones de cuentas.

Según BleepingComputer, otro equipo de piratas informáticos habría llevado a cabo otra filtración que afecta a 17 millones de usuarios.

El sitio web de ciberseguridad ha podido confirmar hasta ahora que solo una de estas dos filtraciones era válida.

El defecto de seguridad permite a los hackers introducir grandes listas de números de teléfono y direcciones de correo electrónico en una API de Twitter y recibir un ID de usuario de Twitter asociado, informó el sitio web de seguridad informática.

«Ryushi» afirmó que a continuación utilizó un ID con otra IP para recuperar los datos del perfil público de un usuario, construyendo después un perfil de usuario de Twitter compuesto por datos públicos y privados.

«Yo obtuve acceso mediante la misma vulnerabilidad que ya se utilizó para la filtración de datos de 5.4 millones. Hablé con el vendedor de la misma y me confirmó que estaba en el flujo de inicio de sesión de Twitter», dijo el hacker a BleepingComputer.

«Así que, en la comprobación de duplicación este filtró el userID que convertí usando otra API al nombre de usuario y otra información».

La empresa de seguridad contra la ciberdelincuencia, Hudson Rock, dijo en un tuit que ha podido verificar de forma independiente que las muestras de datos filtrados a través de la brecha en el sistema API parecen ser legítimas.

Esto se basó en una muestra de 1000 perfiles de usuarios de Twitter filtrados por «Ryushi», informó Hudson Rock.

Amenaza de vender datos a redes criminales si Twitter no responde

«Ryushi» amenazó al CEO de Twitter, Elon Musk, con que la falta de cooperación le acarrearía multas por violación de la privacidad del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea de hasta USD 276 millones, como lo que le ocurrió a Facebook, cuando más de 500 millones de datos de sus usuarios quedaron expuestos.

El hacker advirtió a Elon Musk y a Twitter que debían comprar los datos inmediatamente.

«Twitter o Elon Musk, si ustedes están leyendo esto ustedes ya se están arriesgando a una multa GDPR por más de 5.4 millones imaginen la multa si la violación afecta a 400 millones de usuarios. Su mejor opción para evitar pagar USD 276 millones en multas por infracción del GDPR como hizo Facebook (debido a la filtración de 533 millones de usuarios) es comprar estos datos en exclusiva», se leía en la amenaza.

Algunos de los nombres famosos incluyen al expresidente Donald Trump, la representante Alexandria Ocasio-Cortez de Nueva York, Vitalik Buterin, Kevin O’Leary y Mark Cuban, entre otros.

«Ryushi» adjuntó un enlace a un posteo en el que advierte de cómo los ciberdelincuentes podrían abusar de los datos robados para phishing, estafas criptográficas, doxing, ataques BEC y otras actividades maliciosas contra sus usuarios, destacando las consecuencias de la falta de cooperación de Musk.

El hacker señaló que, dado que Musk ya estaba bajo la presión de gobiernos y críticos por cambiar la política de verificación de Twitter, los usuarios podrían perder su confianza en la plataforma cuando se enteren de la violación de datos.

La mala noticia surgió después de que la Comisión Irlandesa de Protección de Datos, un organismo de vigilancia de la privacidad de la UE, iniciara este mes una investigación sobre la filtración de datos de Twitter.

Sin embargo, mientras algunos analistas han especulado con que la afirmación de «Ryushi» de poseer los datos privados de 400 millones de cuentas es un engaño, Hudson Rock cree que la amenaza cibernética es real.

«Nota: En este momento, no es posible verificar completamente que haya efectivamente 400,000,000 usuarios en la base de datos. A partir de una verificación independiente, los datos en sí parecen ser legítimos y haremos un seguimiento de cualquier novedad», declaró la agencia de inteligencia contra el cibercrimen en otro tuit.

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí