Twitter ha sido víctima de un nuevo hackeo. Explotando una vulnerabilidad ya conocida, en tanto que fue descubierta en enero de este mismo año, un hacker ha conseguido, aparentemente, acceder a los datos personales (números de teléfono y correos) de 5,4 millones de usuarios.
Dichos datos se han puesto a la venta en un foro online por un usuario llamado «devil». Según asegura el mismo en la publicación, tiene los datos de 5.485.636 usuarios, incluyendo celebridades, empresas y otros usuarios. ¿El precio de venta? 30.000 dólares. Desde Twitter han confirmado estar investigando la situación, pero no hay información por el momento.
Una vulnerabilidad conocida
Como indicábamos anteriormente, la vulnerabilidad explotada por el hacker fue reportada (y, en principio, parcheada) en enero. Esta vulnerabilidad permitía a un atacante obtener el número de teléfono y dirección de correo mediante un fallo concreto del cliente de Twitter para Android.
La miga está en que funcionaba incluso cuando el usuario había ocultado dicha información en los ajustes de privacidad. Un usuario de HackerOne, «zhirinovskiy», reportó el problema a Twitter y no solo fue verificado, sino que Twitter recompensó al usuario con 5.040 dólares.
Pues si bien esta vulnerabilidad ya había sido parcheada, es la misma que aparentemente ha usado «devil» para obtener los datos de 5,4 millones de usuarios. La información se vende por 30.000 dólares en el mismo foro en el que a principios de mes se vendía la información de mil millones de chinos.
Pocas horas después de la publicación en el foro, el propio foro verificó la autenticidad de la filtración y el método de extracción. Desde Restore Privacy también aseguran haber validado la información usando la prueba puesta a disposición por «devil» y, efectivamente, los datos filtrados parecen correctos.
Sea como fuere, tocará esperar para que Twitter se pronuncie y de más información al respecto. Por ahora, solo sabemos que están investigando el asunto.
Fuente: xataka.com