Un actor de amenazas afirma estar vendiendo datos públicos y privados de 400 millones de usuarios de Twitter extraídos en 2021 utilizando una vulnerabilidad API ahora reparada. Están pidiendo $200,000 por una venta exclusiva.
El presunto volcado de datos está siendo vendido por un actor de amenazas llamado 'Ryushi' en el foro de piratería Breached, un sitio comúnmente utilizado para vender datos de usuarios robados en violaciones de datos.
El actor de amenazas afirmó haber recopilado los datos de más de 400 millones de usuarios únicos de Twitter utilizando una vulnerabilidad. Advirtieron a Elon Musk y Twitter que deberían comprar los datos antes de que conduzcan a una gran multa según la ley de privacidad GDPR de Europa.
"Su mejor opción para evitar pagar $ 276 millones de dólares en multas por incumplimiento de GDPR como lo hizo Facebook (debido a que 533 millones de usuarios fueron eliminados) es comprar estos datos exclusivamente".
Fuente: BleepingComputer
El actor de amenazas también se vinculó a una publicación que explica cómo otros actores de amenazas podrían abusar de estos datos para ataques de phishing, estafas criptográficas y ataques BEC.
La publicación del foro incluye datos de muestra de treinta y siete celebridades, políticos, periodistas, corporaciones y agencias gubernamentales, incluidos Alexandria Ocasio-Cortez, Donald Trump JR, Mark Cuba, Kevin O'Leary y Piers Morgan. Además, más tarde se filtró una muestra mayor de 1.000 perfiles de usuarios de Twitter.
Los perfiles de usuario contienen datos públicos y privados de Twitter, incluidas las direcciones de correo electrónico, los nombres, los nombres de usuario, el número de seguidores, la fecha de creación y los números de teléfono de los usuarios. Aunque todos los perfiles filtrados parecen tener direcciones de correo electrónico asociadas, muchos no tienen números de teléfono.
Si bien casi todos estos datos son de acceso público para cualquier usuario de Twitter, los números de teléfono y las direcciones de correo electrónico son información privada.
El actor de amenazas Ryushi le dijo a BleepingComputer que están intentando vender los datos de Twitter exclusivamente a una sola persona/Twitter por $200,000 y luego eliminarán los datos. Si no se realiza una compra exclusiva, venderán copias a varias personas por $60,000 por venta.
Cuando se les preguntó si se comunicaron con Twitter para rescatar los datos, le dijeron a BleepingComputer que se comunicaron con Twitter e hicieron llamadas, pero no recibieron respuesta.
Datos recopilados utilizando una vulnerabilidad de API ahora corregida
El actor de amenazas confirmó a BleepingComputer que recopilaron los números de teléfono privados y las direcciones de correo electrónico utilizando una vulnerabilidad de API que Twitter solucionó en enero de 2022 y que anteriormente se asoció con una violación de datos de 5,4 millones de usuarios .
Esta vulnerabilidad permitía a una persona introducir grandes listas de números de teléfono y direcciones de correo electrónico en una API de Twitter y recibir una ID de usuario de Twitter asociada. Luego, el actor de amenazas usó esta identificación con otra IP para recuperar los datos del perfil público de los usuarios, creando un perfil de usuario de Twitter que consta de datos públicos y privados.
"Obtuve acceso por el mismo exploit utilizado para la fuga de datos de 5,4 m. Hablé con el vendedor y confirmó que estaba en el flujo de inicio de sesión de Twitter", dijo el actor de amenazas a BleepingComputer.
"Entonces, en la verificación de duplicación, filtró el ID de usuario que convertí usando otra API en nombre de usuario y otra información".
Si bien Twitter corrigió la vulnerabilidad en enero de 2022, ahora se ha confirmado que múltiples actores de amenazas la han utilizado para extraer información privada de los usuarios de Twitter.
En cuanto a esta nueva filtración, BleepingComputer solo ha podido confirmar como válidos dos de los perfiles de Twitter filtrados.
Sin embargo, Alon Gal de la empresa de inteligencia de amenazas Hudson Rock ha dicho que verificaron de forma independiente que las muestras filtradas parecen legítimas.
"Tenga en cuenta: en esta etapa no es posible verificar completamente que de hecho hay 400,000,000 de usuarios en la base de datos", tuiteó Hudson Rock .
"A partir de una verificación independiente, los datos en sí parecen ser legítimos y haremos un seguimiento de cualquier desarrollo".
Esta filtración de datos de usuarios de Twitter llega en un mal momento para la empresa de redes sociales, ya que un organismo de control de la privacidad de la UE, la Comisión de Protección de Datos de Irlanda (DPC), ha iniciado una investigación sobre la reciente publicación de los 5,4 millones de registros de usuarios robados en 2021 utilizando esta vulnerabilidad.
Otro actor de amenazas afirmó haber utilizado también esta vulnerabilidad para raspar los datos de unos supuestos 17 millones de usuarios . Sin embargo, esta filtración aún es privada y no se vende.
BleepingComputer se comunicó con Twitter con más preguntas sobre la venta de estos datos, pero no hubo una respuesta disponible de inmediato.
Fuente: https://www.bleepingcomputer.com/
No olvides Compartir... Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios