Un hacker está vendiendo los datos de 400 millones de cuentas de Twitter, extraídos en 2021 aprovechando una vulnerabilidad de la API en la red social.
El atacante de nombre "Ryushi" ha publicado información sobre cómo se ha hecho el proceso en Breached, un sitio utilizado para vender datos de usuarios robados en violaciones de datos, donde pide 200,000 dólares por una venta "exclusiva" a Elon Musk/Twitter, para que así este pueda evitar una multa para la compañía según las leyes de privacidad del Reglamento General de Protección de Datos (GDPR) de Europa.
Perfiles conocidos y datos públicos de los usuarios
Según Ryushi, Musk se está arriesgando a una multa por parte de la GDPR y su mejor opción para evitar pagar 276 millones de dólares es comprar los datos de los usuarios.
Para probar la veracidad de la filtración de datos, el atacante publicó algunas de las cuentas con las que cuenta, entre las que se encuentran SpaceX, Donald Trump, Charlie Puth, Steve Wozniak, Neil deGrasse Tyson, Cara Delevingne, Gerard Piqué, Sundar Pichai, Linus Tech Tips, Vitalik Buterin o Shawn Mendes.
A la par de estas cuentas Ryushi incluso publicó una "pequeña muestra" de 1,000 usuarios de Twitter que habían sido verificados aunque no estaban suscritos a Twitter Blue, mismos que "no representan ni el 1% de los datos".
Los perfiles que posee el atacante consisten en datos públicos y privados de los usuarios, entre los que se encuentran las direcciones de correo electrónico, nombres y nombres de usuario, número de seguidores, fecha de creación, así como el número de teléfono en algunos casos.
Además, BleepingComputer detalla que tras contactar a Ryushi, este dijo que está intentando vender los datos a una sola persona, en este caso a la propia Twitter por los 200,000 dólares, mismos que luego de la transacción serían eliminados.
Sin embargo, en caso de que no se pueda realizar la compra exclusiva, la intención del atacante es poder vender copias a varias personas por 60,000 dólares cada una.
Aprovechando un "viejo" error de Twitter
Para esta recopilación, se utilizó la misma vulnerabilidad de la API de Twitter que provocó la filtración de aproximadamente 5.4 millones de cuentas en enero de 2022, un error que permitía enviar números de teléfonos y direcciones de correo para recuperar una ID asociada.
Estos datos habían estado inicialmente a la venta, aunque luego se pusieron de forma gratuita para cualquier usuario.
Por lo pronto, Hudson Rock, una empresa de inteligencia contra delitos cibernéticos ha revelado que a pesar del tamaño de la filtración, de momento no se puede determinar si hay en total 400 millones de usuarios en la base de datos, pero en una verificación independiente, los datos sí parecen ser legítimos.
Imagen: Roman Martyniuk en Unsplash
Ver 1 comentarios