Hace varios meses, el pasado mes de enero, Twitter informó de una vulnerabilidad en su sistema que había causado la fuga de ciertos datos personales de sus usuarios, como direcciones de email asociadas a teléfono. El problema que tenían es que cualquier persona con malas intenciones que metiera un número de teléfono al azar, podía conseguir un número de identificación llamado twitterID, y con ese número, hacer una consulta y conseguir el nombre de usuario. Esto permitía utilizar ataques de fuerza bruta en los que se probaban muchos números de teléfono, bien al azar u obtenidos de otras bases de datos, y asociar a los mismos direcciones de email. Así, haciendo muchas consultas, era posible conseguir números de teléfono, nombres de cuenta de Twitter y direcciones de email asociadas en muchos de los casos.
Twitter solucionó el problema con relativa rapidez, pero ahora se ha podido confirmar que no llegaron a tiempo, y que el problema es bastante más grave de lo que se esperaba. Según Retore Privacy, Twitter cedió todos esos datos de 5,4 millones de usuarios, principalmente del Reino Unido pero también muchos de países de la Unión Europea entre los que se encuentra España.
Ahora, se ha podido confirmar que esa base de datos completa está a la venta por 5000 dólares en la dark web. Los hackers que la venden permiten descargar una pequeña parte de esa base de datos para confirmar que efectivamente tiene esa información. El número de teléfono sólo aparece para los usuarios que tienen activado que puedan ser encontrados mediante ese número de teléfono en Twitter, pero en cualquier caso también se ha podido conseguir la dirección de email en todos los casos, así que estamos hablando de una filtración bastante importante, mucho más voluminosa de lo que Twitter había dado a entender inicialmente.
Lo más WTF del asunto es que esta vulnerabilidad fue reportada a Twitter, cuyos empleados dan las gracias al usuario que lo reportó. Gracias a eso, se llevó 5040 dólares. Ahora, otros malintencionados han utilizado este método para crear esa base de datos de 5,4 millones de usuarios de Twitter entre los que se encuentran algunos famosos, y esa es la base de datos que se vende. Probablemente se trate de personas diferentes aprovechando la misma vulnerabilidad, sin más, pero da buena cuenta de lo lentos que han sido en Twitter para solucionar esto. A ver si ahora que ha llegado Elon Musk a la empresa y ha echado a más de la mitad de la plantilla, se mueven más rápido y solucionan problemas como éste más rápidamente.
