El pico de Twitter parece bastante largo hoy en día, ¿no crees?
Vaya, ¡tenemos una sorpresa para ti! La semana pasada, Twitter afirmó que no es culpable de una filtración que expuso datos de más de 200 millones de usuarios. "No hay pruebas de que los datos que se están vendiendo online se obtuvieran aprovechando una vulnerabilidad de los sistemas de Twitter", concluyó el gigante de las redes sociales después de - er - una "investigación" propia.
Como ya hemos dicho, somos escépticos al respecto. Después de todo, ¿se puede confiar realmente en una empresa que utiliza un equipo interno para investigar a fondo -y con veracidad- sus propios fallos? Además, Alon Gal, fundador de la empresa israelí de ciberseguridad Hudson Rock, que fue la primera en dar la voz de alarma sobre la filtración de datos, también se muestra receloso sobre la "investigación" de Twitter. Sigue manteniendo que Twitter no debería eludir su culpabilidad por la filtración de datos.
Y la cosa no acaba ahí. El anónimo que está detrás de la filtración de más de 200 millones de datos de Twitter en Breached (un foro de hackers) se puso en contacto con Laptop Mag para decirnos que Twitter, como sospechábamos, "casi seguro que está mintiendo".
La debacle de la filtración de datos de Twitter
Antes de entrar en detalles sobre el cuestionable informe de Twitter, veamos algunos antecedentes de la debacle de la filtración de datos. En enero de 2022, un observador atento del programa de recompensas por errores de Twitter informó al gigante de las redes sociales sobre una vulnerabilidad de la API que exponía los datos de los usuarios. ¿Cómo se podría explotar este fallo? Buena pregunta. Así es como Twitter lo describió:
"Al enviar una dirección de correo electrónico o un número de teléfono a los sistemas de Twitter, los sistemas de Twitter le dirían a la persona a qué cuenta de Twitter estaba asociada la dirección de correo electrónico o el número de teléfono enviados. Este problema surgió de una actualización del código de Twitter en junio de 2021".
Sin embargo, Twitter afirmó que había parcheado la vulnerabilidad en enero de 2022. Por desgracia, fue demasiado poco y demasiado tarde. En julio de 2022, un hacker reveló en Breached que estaba en posesión de un conjunto de datos con más de cinco millones de usuarios de Twitter (las direcciones de correo electrónico y los números de teléfono estaban expuestos). Consiguieron proteger los datos antes de que Twitter parcheara el fallo de seguridad en enero de 2022.
Twitter informó a los usuarios del incidente en agosto de 2022. Ahora, aquí es donde se pone interesante. Utilizando la misma vulnerabilidad parcheada en enero de 2022, a finales de diciembre, una amenaza afirmó que había conseguido un volcado de datos de 400 millones de usuarios de Twitter y pidió 200.000 dólares por el conjunto de datos. (Para que quede claro, este es otro caso en el que un actor de amenazas explotó la famosa vulnerabilidad antes del parche, probablemente en algún momento de finales de 2021).
El actor de la amenaza (que se hace llamar "Ryushi") dejó claro que lo ideal era conseguir esos 200.000 dólares de Twitter:
"Twitter, o Elon Musk, si estás leyendo esto, te estás arriesgando a una multa GDPR sobre 5,4m de incumplimiento imaginando la multa de 400m de usuarios fuente de incumplimiento", dijo Ryushi. "Su mejor opción es evitar el pago de $ 276 millones USD en multas GDPR violación como Facebook hizo (debido a 533m usuarios que se raspan) es comprar estos datos exclusivamente."
Ryushi se jactó de que el conjunto de datos contiene correos electrónicos y números de teléfono de celebridades y políticos, incluyendo Alexandria Ocasio-Cortez, Donald Trump Jr, Mark Cuban, Piers Morgan y más. (Ten en cuenta, sin embargo, que el miembro de Breached "StayMad" desenmascaró a Ryushi por mentir sobre la existencia de números de teléfono en el conjunto de datos).
A principios de enero, el miembro de Breached ThinkingOne -el anónimo que se puso en contacto con nosotros- publicó el mismo conjunto de datos de Ryushi, pero desduplicado (eliminando la información redundante). Por lo tanto, el número real de usuarios supuestamente extraídos de la vulnerabilidad de Twitter es de más de 200 millones, y no de 400 millones (como informó Ryushi en un principio).
En respuesta a esto, Twitter publicó una entrada en su blog el 11 de enero en la que afirmaba que el conjunto de datos NO se había obtenido aprovechando un fallo de seguridad de sus sistemas. Sin embargo, como hemos mencionado al principio, creemos que Twitter está mintiendo, y tenemos más información sobre por qué creemos que el gigante de las redes sociales está mintiendo.
Por qué es probable que Twitter mienta
Tras llevar a cabo una "investigación exhaustiva", el gigante de las redes sociales llegó a la conclusión de que las direcciones de correo electrónico y las cuentas de Twitter que aparecen en el conjunto de datos de más de 200 millones de usuarios de Twitter son probablemente una "recopilación de datos ya disponibles públicamente en línea a través de diferentes fuentes", y añadió que no tiene ninguna culpa de la filtración.
Sin embargo, lo que Twitter está omitiendo convenientemente, según el anónimo que desduplicó el famoso conjunto de datos (se hace llamar ThinkingOne), es que existe un vínculo entre los correos electrónicos y las cuentas de Twitter en el volcado de datos.
"[Ese enlace] no es público, y si ese enlace se obtuvo a través de Twitter, sería una vulnerabilidad/exploit (como reconocieron en agosto de 2022)", dijo ThinkingOne a Laptop Mag en un correo electrónico.
Sin embargo, ThinkingOne trató de dar a Twitter el beneficio de la duda, analizando otra posibilidad de cómo se podría obtener un volcado de datos de los usuarios de Twitter con emparejamientos correctos con direcciones de correo electrónico sin explotar una vulnerabilidad:
"La única otra posibilidad plausible que se me ocurre es que alguien tomara una lista masiva de correos electrónicos, una lista masiva de cuentas de Twitter y las emparejara posiblemente utilizando enriquecimiento de datos (por ejemplo, nombres reales que se sabe que están asociados a los correos electrónicos)", dijo ThinkingOne, pero añadió que esto no se sostiene. "Hay más de 10.000 cuentas de Twitter con el nombre real de sólo 'Sarah' y un nombre de usuario de 'Sarah' seguido de números. Es imposible que alguien pueda saber cuál es cuál".
ThinkingOne dice que también es posible que Twitter proporcionara estos emparejamientos de correo electrónico/nombre de usuario a una tercera empresa y, como resultado, se filtraran. Pero si ese es el caso, Twitter sigue equivocándose al decir que los datos "ya están a disposición del público".
Cabe señalar que un residente de Nueva York, que busca el estatus de demanda colectiva, demandó a Twitter por negligencia con sus datos personales y está solicitando que un auditor de seguridad externo investigue el volcado de datos de más de 200 millones de usuarios.
Twitter tiene mucho que explicar, así que nos pusimos en contacto con el gigante de las redes sociales para obtener un comentario. Aún no nos han contestado, pero si lo hacen, actualizaremos este artículo.
0 komentar:
Publicar un comentario