Twitter ha confirmado que una vulnerabilidad en su código llevó a una exposición de datos a fines del año pasado. En una publicación de blog publicada el viernes, la compañía dijo que un actor malicioso se aprovechó de una falla de día cero antes de que se diera cuenta y parcheara el problema en enero de 2022. La vulnerabilidad fue descubierta por un investigador de seguridad que contactó a Twitter a través del programa de recompensas por errores de la compañía.
Cuando Twitter se enteró por primera vez de la falla, dijo que no tenía “ninguna evidencia” que sugiriera que había sido explotada. Sin embargo, un individuo le dijo a Bleeping Computer el mes pasado que aprovecharon la vulnerabilidad para obtener datos de más de 5.4 millones de cuentas. Twitter dijo que no podía confirmar cuántos usuarios se vieron afectados por la exposición. La vulnerabilidad permitió al mal actor determinar si una dirección de correo electrónico o un número de teléfono estaba vinculado a una cuenta de Twitter existente. A su vez, podrían usar esa información para determinar la identidad del propietario de una cuenta.
“Estamos publicando esta actualización porque no podemos confirmar todas las cuentas que se vieron potencialmente afectadas, y somos particularmente conscientes de las personas con cuentas seudónimas que pueden ser atacadas por el estado u otros actores”, dijo Twitter. “Si opera una cuenta de Twitter seudónima, entendemos los riesgos que un incidente como este puede introducir y lamentamos profundamente que esto haya sucedido”.
Twitter dijo que notificaría directamente a todos los propietarios de cuentas que pudiera confirmar que se vieron afectados por la exposición. Para los usuarios que intentan mantener su identidad oculta, la compañía recomienda no agregar un número de teléfono o dirección de correo electrónico conocido públicamente a una cuenta. También sugiere agregar autenticación de dos factores.
