7,331 cuentas de Twitter de México se encontraron en la filtración de 5.48 millones de cuentas a escala global, consecuencia del abuso de una o varias personas a un error de configuración de Twitter que permitía acceso a datos personales confidenciales.
- La cifra para México, calculada por la newsletter Economicón, incluye a aquellas cuentas cuyos creadores explícitamente detallaron su ubicación en territorio mexicano o aquellas que, aun cuando no están en México, ubican su localización en este país. Twitter no obliga a los usuarios a fijar una ubicación mediante el localizador GPS de los dispositivos, por lo que un usuario puede afirmar que está en Sao Paulo mientras en realidad está en Calcuta o en Morelia.
“Alguien la compró (la base de datos filtrada) y la decidió poner gratuitamente. Eso es raro que suceda, por lo general pasan meses antes de que alguien se gaste ese dinero en una base de datos. O alguien se la robó a alguien más”, dijo Hiram Camarillo, especialista en ciberseguridad de la empresa mexicana Seekurity.
El Economista consultó a Twitter sobre la oferta gratuita de esta base de datos en un popular foro de hackers en internet, pero la compañía dijo no tener ninguna actualización respecto del incidente. En agosto, un vocero de la empresa aseguró que no podía determinar con exactitud el número de cuentas que se vieron afectadas o la ubicación de los titulares de las cuentas”.
El incidente
Uno o varios atacantes fueron capaces de recolectar datos a través de una vulnerabilidad que Twitter corrigió en enero de 2022.
- La vulnerabilidad fue ocasionada por una falla de código en la actualización de la plataforma en junio de 2021 y permaneció activa hasta que la empresa la descubrió a través del programa de detección de vulnerabilidades (bug bounty) HackerOne.
El sitio Restore Privacy reveló que una base de datos con 5.48 millones de cuentas de Twitter había sido puesta a la venta por 30,000 dólares en un foro de compraventa de información.
La base de datos ahora se ofrece de forma gratuita en el mismo foro. Un archivo comprimido de medio gigabyte se traduce en una base de datos con 5.38 millones de números de identificación de usuarios de Twitter, junto a sus correos electrónicos, números de teléfono, direcciones URL de imágenes de perfil, ubicaciones, número de seguidores, descripciones de usuario o si la cuenta está verificada o no.
El sitio HaveIbeenpwned.com, donde una persona puede comprobar si sus cuentas de correo electrónico o su número telefónico han sido vulnerados, ha incluido la base de datos de entre las colecciones de información comprometida que utiliza para identificar aquellos correos o números telefónicos que fueron robados en algún incidente de seguridad./Agencias-PUNTOporPUNTO