Twitter está investigando las afirmaciones de que una vulnerabilidad de casi siete meses de antigüedad en su software ha sido explotada para obtener los números de teléfono y las direcciones de correo electrónico de unos supuestos 5,4 millones de usuarios.

Según RestorePrivacy, un grupo de defensa de la privacidad digital que fue el primero en denunciar el fallo de seguridad, un delincuente que se hace llamar “diablo” afirma haber obtenido los datos y los está vendiendo en un foro de ciberdelincuencia. Se dice que la información pertenece a celebridades, empresas, internautas comunes y cuentas con nombres de usuario muy deseados.

El comunicado también señala que el fallo explotado fue reportado a través del programa de recompensas por fallos de Twitter y corregido en enero.

Un usuario de HackerOne, zhirinovskiy, reveló el día de Año Nuevo el fallo de privacidad, que radica en el proceso de autorización del cliente Android de Twitter. Esencialmente, un descuido en el diseño del software podría ser aprovechado para recoger las direcciones de correo electrónico y los números de teléfono registrados en las cuentas de Twitter, incluso si los usuarios han decidido no revelar esta información.

Twitter pagó a zhirinovskiy una recompensa de 5.040 dólares por el descubrimiento, y arregló la vulnerabilidad, el 13 de enero.

La semana pasada, sin embargo, RestorePrivacy dijo que encontró la base de datos de Twitter a la venta en Breached Forums, analizó las muestras y confirmó que coincidían con “personas del mundo real que pueden ser fácilmente verificadas con perfiles públicos en Twitter.”

La organización también se puso en contacto con Devil, el vendedor, que pedía 30.000 dólares por la información y culpó a la “incompetencia de Twitter” de la filtración.

Info – Ciberseguridad Latam