Durante el día de ayer, un hacker afirmó estar vendiendo datos personales tanto públicos como privados de 400 millones de usuarios en Twitter. El ciberdelincuente utilizó una vulnerabilidad a través de la API que ya está corregida, pero el peligro no ha acabado. El individuo pide hasta 200.000 dólares por una venta exclusiva de toda esta información.
El actor malicioso recibe el nombre de “Ryushi” y está traficando con los datos de Twitter en la plataforma o foro de hacking conocido como Breached. Un lugar bastante conocido entre este tipo de usuarios, quienes acostumbran a aprovechar este sitio para vender información personal robada. Una situación que ha hecho sonar las alarmas dentro de las oficinas de Elon Musk.
Amenazas a Twitter y Elon Musk
Este tal “Ryushi” afirma tener en su poder datos de más de 400 millones de personas después de utilizar una vulnerabilidad. De hecho, han avisado a Elon Musk y Twitter de que deberían efectuar la compra antes de que la ley de privacidad GDPR de Europa acabe significando una multa significativa para la empresa del magnate.
«Twitter o Elon Musk si usted está leyendo esto ya se está arriesgando a una multa GDPR más de 5,4 millones de incumplimiento de imaginar la multa de 400 millones de usuarios violación fuente»
«Su mejor opción para evitar el pago de $ 276 millones USD en multas de violación GDPR como Facebook hizo (debido a 533m usuarios que fueron raspados) es comprar estos datos exclusivamente.»
El ciberdelincuente también otorga acceso a otra publicación donde explicaba cómo otros hackers pueden exprimir estos datos para ataques de phishing o estafas de criptomonedas, entre otros. Asimismo, el post del foro incluye pruebas de la información obtenida y donde aparecen 7 celebridades, como Donald Trump, Piers Morgan, Mark Cuba… Más tarde, se publicó una muestra más cuantiosa de hasta 1.000 perfiles de Twitter.
Los perfiles contienen toda clase de información personal, como correos electrónicos, nombres, números de seguidores, números de teléfonos… Si bien es cierto que casi todos ellos son de acceso público, pero esto no se extrapola ni a la cuenta de Gmail ni a tu móvil. Por otro lado, el autor de la amenaza está intentando vender los datos en exclusiva a una sola persona (Twitter) por 200.000 dólares, mientras que, si no se realiza la compra, decidirá venderla a varias personas por 60.000 dólares de cada una.
Así aprovechó la vulnerabilidad de Twitter
Los compañeros de Bleeping Computer contactaron con el hacker, quien recopiló los números de los usuarios junto con las direcciones de correo a través de una vulnerabilidad de la API de Twitter. Una brecha de seguridad que fue corregida en enero del presente año 2022 y que se asoció con la filtración de datos de hasta 5,4 millones de usuarios.
Esta vulnerabilidad permitía a un usuario introducir grandes listas de números de teléfono y correos electrónicos para, posteriormente, recibir el ID del usuario de Twitter asociado. El ciberdelincuente empleaba este ID con otra IP para obtener la información de ese perfil público para generar un perfil con los datos públicos y privados.
No obstante, desde la empresa de inteligencia de amenazas Hudson Rock, concretamente, Alon Gal, señala que han verificado de forma independiente que las muestras filtradas parecen legítimas, pero indica lo siguiente:
«Por favor, tenga en cuenta: En este momento no es posible verificar completamente que efectivamente hay 400.000.000 de usuarios en la base de datos».