Twitter reveló el viernes que se usó un error de día cero ahora parcheado para vincular números de teléfono y correos electrónicos a cuentas de usuario en la plataforma de redes sociales.
“Como resultado de la vulnerabilidad, si alguien envió una dirección de correo electrónico o un número de teléfono a los sistemas de Twitter, los sistemas de Twitter le dirían a la persona a qué cuenta de Twitter se asoció la dirección de correo electrónico o el número de teléfono enviado, si corresponde”, dijo la compañía. dijo en un aviso.
Twitter dijo el error, que era conscientes de enero de 2022, se derivó de un cambio de código introducido en junio de 2021. No se expusieron contraseñas como resultado del incidente.
El retraso de seis meses en hacer esto público se debe a la nueva evidencia del mes pasado de que un actor no identificado se había aprovechado potencialmente de la falla antes de la corrección para extraer información del usuario y venderla con fines de lucro en Foros de incumplimiento.
Aunque Twitter no reveló el número exacto de usuarios afectados, la publicación en el foro realizada por el actor de amenazas muestra que la falla fue explotada para compilar una lista que supuestamente contiene más de 5,48 millones de perfiles de cuentas de usuarios.
Restaurar privacidad, que revelado la brecha a fines del mes pasado, dijo que la base de datos se vendía por $ 30,000.
Twitter declaró que está en proceso de notificar directamente a los propietarios de cuentas afectados por el problema, al tiempo que insta a los usuarios a activar la autenticación de dos factores para protegerse contra inicios de sesión no autorizados.
El desarrollo se produce cuando Twitter, en mayo, acordó pagar una multa de $ 150 millones para resolver una queja del Departamento de Justicia de EE. UU. que alegaba que la compañía entre 2014 y 2019 usó información proporcionada por los titulares de cuentas para verificación de seguridad con fines publicitarios sin su consentimiento.