Debido a un error en el código detectado en enero, ciberdelincuentes tuvieron acceso a datos como direcciones de correo electrónico y números de teléfono asociados a cuentas y los pusieron en venta a u$s30 mil en la dark web.
Mientras continúa la pelea entre Twitter y Elon Musk, la red social confirmó que ciberdelincuentes vulneraron la seguridad de la aplicación y filtraron datos de al menos 5,4 millones de usuarios.
La empresa se enteró en enero de 2022, pero recién lo comunicó el viernes 5 de agosto. Según explicaron, en junio de 2021 los desarrolladores actualizaron el código del sitio, como parte de sus operaciones regulares.
Sin embargo, un error en el código permitió que el sistema de Twitter pudiera revelar a qué cuenta estaban asociados datos como direcciones de correo electrónico y números de teléfono.
La compañía tomó conocimiento del error en enero de 2022 y lo corrigió. En principio, el diagnóstico era que ningún ciberdelincuente había sacado provecho de la vulnerabilidad, pero un informe del sitio Bleeping Computer de julio reveló que en la dark web se había puesto en venta una base de datos de más de 5 millones de cuentas por u$s30 mil.
Esto afectaría principalmente a usuarios que utilizan cuentas con seudónimos para mantener el anonimato cuando sus vidas corren peligro por ser disidentes en países con gobiernos totalitarios. También, en menor grado, a quienes operan en forma de «trolls».
«Estamos publicando esta actualización porque no podemos confirmar todas las cuentas que se vieron potencialmente afectadas, y somos particularmente conscientes de las personas con cuentas seudónimas que pueden ser atacadas por el Estado u otros actores», reconocieron desde Twitter.
En su comunicado, la red social sostuvo que no puede confirmar si todos los usuarios están afectados por el problema, pero que mantendrá al tanto a las cuentas que sí sufrieron vulneraciones. La empresa sí aseguró que ninguna contraseña se vio comprometida en la violación de datos.
En Twitter aconsejaron a los usuarios habilitar la autenticación en dos pasos para mantener sus cuentas seguras. Además, «para mantener su identidad lo más oculta posible, recomendamos no agregar un número de teléfono o dirección de correo electrónico conocidos públicamente a su cuenta», expresaron.