Datos de Twitter de "+400 millones de usuarios únicos" a la venta: ¿qué hacer?

Caliente en los talones de la Saga de violación de datos de LastPass, que salió a la luz por primera vez en agosto de 2022, llega la noticia de una violación de Twitter, aparentemente basada en un error de Twitter que apareció por primera vez en los titulares en el mismo mes.

Según una captura de pantalla publicado por el sitio de noticias Bleeping Computer, un ciberdelincuente ha anunciado:

Estoy vendiendo datos de más de 400 millones de usuarios únicos de Twitter que se rasparon a través de una vulnerabilidad, estos datos son completamente privados.

E incluye correos electrónicos y números de teléfono de celebridades, políticos, empresas, usuarios normales y muchos OG y nombres de usuario especiales.

OG, en caso de que no esté familiarizado con ese término en el contexto de las cuentas de redes sociales, es la abreviatura de Mafioso original.,

Esa es una metáfora (se ha vuelto popular, a pesar de que es algo ofensivo) para cualquier cuenta de redes sociales o identificador en línea con un nombre tan corto y original que debe haber sido adquirido desde el principio, cuando el servicio al que se relaciona era completamente nuevo. y plebe aún no había acudido en masa para unirse.

Tener la clave privada para el bloque 0 de Bitcoin, el llamado Bloque de Génesis (porque fue creado, no minado), sería quizás la cosa más OG en cyberland; tener un identificador de Twitter como @jack o cualquier nombre o frase corta y conocida, no es tan genial, pero ciertamente buscado y potencialmente muy valioso.

¿Qué hay a la venta?

A diferencia de la violación de LastPass, no hay datos relacionados con la contraseña, las listas de sitios web que usa o las direcciones de sus casas parecen estar en riesgo esta vez.

Aunque los estafadores detrás de esta liquidación de datos escribieron que la información “incluye correos electrónicos y números de teléfono”, parece probable que esos sean los únicos datos verdaderamente privados en el basurero, dado que parece haber sido adquirido en 2021, usando un vulnerabilidad que Twitter dice que arregló en enero de 2022.

Esa falla fue causada por una API de Twitter (Interfaz de programación de aplicaciones, jerga para "una forma oficial y estructurada de realizar consultas remotas para acceder a datos específicos o ejecutar comandos específicos") que le permitiría buscar una dirección de correo electrónico o un número de teléfono, y recibir una respuesta que no solo indicaba si era en uso, pero también, si lo estuviera, el identificador de la cuenta asociada a él.

El riesgo inmediatamente obvio de un error como este es que un acosador, armado con el número de teléfono o la dirección de correo electrónico de alguien (puntos de datos que a menudo se hacen públicos a propósito) podría vincular a esa persona con un identificador de Twitter seudoanónimo, un resultado que definitivamente no se suponía que fuera posible.

Aunque esta laguna se solucionó en enero de 2022, Twitter solo lo anunció públicamente en agosto de 2022, alegando que el informe de error inicial era una divulgación responsable enviada a través de su sistema de recompensas por errores.

Esto significa (asumiendo que los cazarrecompensas que lo enviaron fueron los primeros en encontrarlo y que nunca se lo dijeron a nadie más) que no se trató como un día cero y, por lo tanto, parchearlo evitaría de manera proactiva que la vulnerabilidad siendo explotado.

Sin embargo, a mediados de 2022, Twitter descubierto de otra manera:

En julio de 2022, [Twitter] supo a través de un informe de prensa que alguien potencialmente había aprovechado esto y estaba ofreciendo vender la información que habían recopilado. Después de revisar una muestra de los datos disponibles para la venta, confirmamos que un mal actor se había aprovechado del problema antes de que se solucionara.

Un error ampliamente explotado

Bueno, ahora parece que este error puede haber sido explotado más ampliamente de lo que parecía al principio, si es que los ladrones de tráfico de datos actuales están diciendo la verdad acerca de tener acceso a más de 400 millones de identificadores de Twitter raspados.

Como puede imaginar, una vulnerabilidad que permite a los delincuentes buscar los números de teléfono conocidos de personas específicas con fines nefastos, como acoso o acecho, probablemente también permita a los atacantes buscar números de teléfono desconocidos, quizás simplemente generando listas extensas pero probables. basado en rangos de números que se sabe que están en uso, ya sea que esos números hayan sido emitidos alguna vez o no.

Probablemente esperaría que una API como la que supuestamente se usó aquí incluyera algún tipo de limitación de velocidad, por ejemplo, encaminadas a reducir el número de consultas permitidas desde un ordenador en un periodo de tiempo determinado, de forma que no se obstaculice el uso razonable de la API, pero se limite el uso excesivo y, por tanto, probablemente abusivo.

Sin embargo, hay dos problemas con esa suposición.

En primer lugar, no se suponía que la API revelara la información que lo hizo en primer lugar.

Por lo tanto, es razonable pensar que la limitación de velocidad, si es que la hubo, no habría funcionado correctamente, dado que los atacantes ya habían encontrado una ruta de acceso a los datos que, de todos modos, no se estaba verificando correctamente.

En segundo lugar, los atacantes con acceso a una botnet, o red de zombis, de computadoras infectadas con malware podría haber usado miles, quizás incluso millones, de las computadoras de apariencia inocente de otras personas, repartidas por todo el mundo, para hacer su trabajo sucio.

Esto les daría los medios para recolectar los datos en lotes, eludiendo así cualquier límite de velocidad al hacer una cantidad modesta de solicitudes cada una desde muchas computadoras diferentes, en lugar de tener una pequeña cantidad de computadoras, cada una de las cuales realiza una cantidad excesiva de solicitudes.

¿De qué se apoderaron los ladrones?

En resumen: no sabemos cuántos de esos “+400 millones” de identificadores de Twitter son:

• Genuinamente en uso. Podemos suponer que hay muchas cuentas cerradas en la lista, y quizás cuentas que ni siquiera existieron, pero que se incluyeron por error en la encuesta ilegal de los ciberdelincuentes. (Cuando está utilizando una ruta no autorizada en una base de datos, nunca puede estar seguro de qué tan precisos serán sus resultados o qué tan confiable puede detectar que una búsqueda falló).
• Aún no está conectado públicamente con correos electrónicos y números de teléfono. Algunos usuarios de Twitter, en particular los que promocionan sus servicios o su negocio, permiten de buen grado que otras personas conecten su dirección de correo electrónico, su número de teléfono y su identificador de Twitter.
• Cuentas inactivas. Eso no elimina el riesgo de conectar esos identificadores de Twitter con correos electrónicos y números de teléfono, pero es probable que haya un montón de cuentas en la lista que no serán de mucho, o incluso ningún valor para otros ciberdelincuentes por cualquier motivo. tipo de estafa de phishing dirigida.
• Ya comprometido a través de otras fuentes. Regularmente vemos enormes listas de datos "robados de X" a la venta en la web oscura, incluso cuando el servicio X no ha tenido una brecha o vulnerabilidad reciente, porque esos datos se robaron anteriormente de otro lugar.

Sin embargo, el periódico The Guardian del Reino Unido informes que una muestra de los datos, ya filtrados por los delincuentes como una especie de "prueba", sugiere fuertemente que al menos parte de la base de datos de varios millones de registros a la venta consiste en datos válidos, no se ha filtrado antes, fue No se supone que sea público, y es casi seguro que fue extraído de Twitter.

En pocas palabras, Twitter tiene muchas explicaciones que hacer, y es probable que los usuarios de Twitter de todo el mundo se pregunten: "¿Qué significa esto y qué debo hacer?"

¿Qué vale la pena?

Aparentemente, los mismos delincuentes parecen haber evaluado las entradas en su base de datos robada como si tuvieran poco valor individual, lo que sugiere que no ven el riesgo personal de que sus datos se filtren de esta manera como terriblemente alto.

Aparentemente están pidiendo $ 200,000 por el lote para una venta única a un solo comprador, que sale a 1/20 de un centavo de dólar estadounidense por usuario.

O le quitarán $60,000 a uno o más compradores (cerca de 7000 cuentas por dólar) si nadie paga el precio “exclusivo”.

Irónicamente, el objetivo principal de los ladrones parece ser chantajear a Twitter, o al menos avergonzar a la empresa, afirmando que:

Twitter y Elon Musk… su mejor opción para evitar pagar $276 millones de dólares en multas por incumplimiento de GDPR… es comprar estos datos exclusivamente.

Pero ahora que el gato está fuera de la bolsa, dado que la violación ha sido anunciada y publicitada de todos modos, es difícil imaginar cómo pagar en este punto haría que Twitter cumpliera con GDPR.

Después de todo, los delincuentes aparentemente ya tienen estos datos desde hace algún tiempo, es posible que los hayan adquirido de uno o más terceros de todos modos, y ya se han esforzado por "probar" que la violación es real y a la escala. reclamado.

De hecho, la captura de pantalla del mensaje que vimos ni siquiera mencionaba la eliminación de los datos si Twitter pagaba (siempre que pudieras confiar en que los delincuentes los eliminarían de todos modos).

El cartel prometía simplemente que “Eliminaré este hilo [en el foro web] y no volveré a vender estos datos”.

¿Qué hacer?

Twitter no va a pagar, sobre todo porque no tiene mucho sentido, dado que los datos violados aparentemente fueron robados hace un año o más, por lo que podría estar (y probablemente esté) en manos de numerosos ciberestafadores ahora.

Entonces, nuestro consejo inmediato es:

• Esté al tanto de los correos electrónicos que antes no creía que pudieran ser estafas. Si tenía la impresión de que el vínculo entre su identificador de Twitter y su dirección de correo electrónico no era muy conocido y, por lo tanto, era poco probable que los correos electrónicos que identificaban exactamente su nombre de Twitter provinieran de fuentes no confiables... ¡no vuelva a hacer eso!
• Si usa su número de teléfono para 2FA en Twitter, tenga en cuenta que podría ser objeto de intercambio de SIM. Ahí es donde un ladrón que ya conoce su contraseña de Twitter obtiene una nueva tarjeta SIM emitida con su número, obteniendo así acceso instantáneo a sus códigos 2FA. Considere cambiar su cuenta de Twitter a un sistema 2FA que no dependa de su número de teléfono, como usar una aplicación de autenticación en su lugar.
• Considere abandonar por completo la 2FA basada en el teléfono. Infracciones como esta, incluso si el total real está muy por debajo de los 400 millones de usuarios, son un buen recordatorio de que incluso si tiene un número de teléfono privado que usa para 2FA, es sorprendentemente común que los ciberdelincuentes puedan conectar su número de teléfono a un número específico. cuentas en línea protegidas por ese número.

---