Twitter “casi seguramente mintió” sobre ser impecable para 200 millones de datos filtrados: he aquí por qué

Chico, ¡tenemos un doozy para ti! La semana pasada, Twitter afirmó que es no culpable de la pérdida que expuso los datos de más de 200 millones de usuarios. “No hay evidencia de que los datos que se venden en línea se hayan obtenido mediante la explotación de una vulnerabilidad en los sistemas de Twitter”, concluyó el gigante de las redes sociales después de, ejem, una autoinvestigación.

Como se mencionó anteriormente, somos escépticos al respecto. Después de todo, puedes verdaderamente confiar en una empresa que utiliza un equipo interno para investigar sus deficiencias a fondo y con veracidad? Además, Alon Gal, el fundador de la firma de seguridad cibernética con sede en Israel Hudson Rock, fue el primero en informar sobre la fuga de datos. Me gusta esto cuidado con las “investigaciones” de Twitter. Todavía argumenta que Twitter no debería escapar de la responsabilidad penal por la violación de datos.

Y no termina ahí. El nombre detrás del volcado de más de 200 millones de datos de Twitter en Breached (un foro de hackers) se acercó a para decirnos que, como sospechábamos, Twitter está “casi seguro mintiendo”.

La debacle de la violación de datos de Twitter

Antes de describir el dudoso informe de Twitter, aquí hay algunos antecedentes sobre la debacle de la violación de datos. En enero 2022, un observador con ojos de halcón del programa de recompensas por errores de Twitter le dijo al gigante de las redes sociales sobre una vulnerabilidad de la API que exponía los datos de los usuarios. ¿Cómo podría explotarse este defecto? Buena pregunta. Así es como Twitter lo describió:

“Al ingresar una dirección de correo electrónico o número de teléfono en los sistemas de Twitter, los sistemas de Twitter le permiten a la persona saber a qué cuenta de Twitter pertenece la dirección de correo electrónico o el número de teléfono ingresado. Este problema ocurrió como resultado de una actualización de código en Twitter en junio de 2021”.

Sin embargo, Twitter dijo que solucionó la vulnerabilidad en enero de 2022. Desafortunadamente, fue demasiado poco y demasiado tarde. En julio 2022, un hacker intentó piratearlo para demostrar que estaba en posesión de un conjunto de datos de más de cinco millones de usuarios de Twitter (las direcciones de correo electrónico y los números de teléfono quedaron expuestos). Lograron asegurar los datos. al principio Twitter corrigió la falla de seguridad en enero de 2022.

Twitter entonces usuarios notificados del incidente en agosto de 2022. Ahora, aquí es donde se pone interesante. Utilizando la misma vulnerabilidad corregida en enero de 2022, en el final de la navidad, Un actor de amenazas afirmó haber logrado obtener un volcado de datos de 400 millones de usuarios de Twitter y exigió € 200,000 por el conjunto de datos. (Para ser claros, este es otro caso en el que un actor de amenazas explotó la infame vulnerabilidad al principio el parche, probablemente a fines de 2021).

El Twitter de Ryushi ha sido hackeado

El actor de amenazas (que se hace llamar “Ryushi”) aclaró que idealmente quería esos €200,000 de Twitter:

“Twitter, o Elon Musk, si estás leyendo esto, corres el riesgo de recibir una multa de GDPR por más de 5,4 millones de infracciones, imagina la multa para 400 millones de usuarios que violan la fuente”, dijo Ryushi. “Tu mejor opción es evitar €276 millones en multas de GDPR como Facebook (por eliminar 533 millones de usuarios) y comprar estos datos exclusivamente”.

Ryushi se jacta de que el conjunto de datos contiene correos electrónicos y números de teléfono de celebridades y políticos, incluidos Alexandria Ocasio-Cortez, Donald Trump Jr., Mark Cuban, Piers Morgan y otros. (Tenga en cuenta, sin embargo, que el miembro de Violated “StayMad” expuso a Ryushi por mentir acerca de tener números de teléfono en el conjunto de datos).

En a principios de enero, ThinkingOne, miembro pirateado, la persona anónima que se puso en contacto con nosotros, publicó el mismo conjunto de datos que Ryushi, pero se deduplicó (se eliminó la información redundante). Así que está el VERDADERO el número de usuarios afectados por la vulnerabilidad de Twitter supera los 200 millones, no los 400 millones (como informó originalmente Ryushi).

PensandoUno

En respuesta a esto, Twitter ha publicado publicación de blog fechada el 11 de enero diciendo que el conjunto de datos NO se encontró al explotar un agujero de seguridad en sus sistemas. Pero, como mencionamos al principio, creemos que Twitter está lleno de ellos, y tenemos más información sobre por qué creemos que el gigante de las redes sociales está mintiendo.

Porque Twitter probablemente esté mintiendo.

Después de realizar una “investigación exhaustiva”, el gigante de las redes sociales concluyó que las direcciones de correo electrónico y las cuentas de Twitter en su conjunto de datos de más de 200 millones son probablemente “una colección de datos de usuarios de Twitter en línea ya disponibles públicamente a través de varias fuentes”, agregó. él es libre de culpa por la pérdida.

Saltar Twitter

Sin embargo, ¿qué es Twitter? convenientemente dejando de lado, según la persona que deduplicó el infame conjunto de datos (se llaman ThinkingOne), que conexión tanto los correos electrónicos como las cuentas de Twitter en el volcado de datos.

“[That link] no es público y si ese enlace se encontrara a través de Twitter, sería una vulnerabilidad/explotación (como se reconoció en agosto de 2022)”, dijo ThinkingOne a en un correo electrónico.

En otras palabras, esto no es solo un conjunto de datos aleatorios de direcciones de correo electrónico y usuarios de Twitter. Estas direcciones de correo electrónico están asociadas con el archivo. derecho Manejadores de Twitter. Por ejemplo, si tiene una cuenta de Twitter en la que es real, pero otra en la que desea permanecer en el anonimato, el conjunto de datos probablemente mostrará que tiene ambas cuentas porque están vinculadas a la misma dirección de correo electrónico.

Sin embargo, ThinkingOne trató de darle a Twitter el beneficio de la duda al analizar otra posibilidad de cómo obtener un volcado de datos de los identificadores de Twitter con las coincidencias correctas con las direcciones de correo electrónico. eso explotar una vulnerabilidad:

“La única otra posibilidad plausible en la que puedo pensar es que alguien tomó una lista enorme de correos electrónicos, una lista enorme de cuentas de Twitter y tal vez las emparejó mediante el enriquecimiento de datos (por ejemplo, nombres (realmente relacionados con los correos electrónicos)”, dijo ThinkingOne, pero agregó que esto no retiene agua. “Hay más de 10.000 cuentas de Twitter con el nombre real ‘Sarah’ seguido del nombre de usuario ‘Sarah’ en números. Nadie sabe cuál es cuál”.

ThinkingOne dijo que también es posible que Twitter haya proporcionado estos pares de correo electrónico/nombre de usuario a una empresa de terceros y, como resultado, los haya filtrado. Pero si ese es el caso, Twitter todavía está equivocado en cuanto a que los datos “ya están disponibles públicamente”.

Vale la pena señalar que un residente de Nueva York, que buscaba el estatus de demanda colectiva, demandó a Twitter por descuidar sus datos personales y le pidió a un auditor de seguridad externo que investigara el volcado de datos de más de 200 millones de usuarios.

Twitter tiene mucho que explicar, así que nos comunicamos con el gigante de las redes sociales para hacer comentarios. Todavía no hemos recibido respuesta, pero actualizaremos este artículo si lo hacemos.

Publicaciones Similares