Si eres usuario de Twitter, quizás sea conveniente que te mantengas alerta a posibles intentos de phishing usando la información provista al momento de crear o actualizar la cuenta.
¿Qué ha pasado? ¿Por qué llevarse de este consejo? En 2021 Twitter fue víctima de un masivo hackeo que aprovechaba una vulnerabilidad detectada y reportada por Hacker One en enero pasado.
La vulnerabilidad, básicamente, permitía a un atacante tener acceso al número de teléfono o correo electrónico de una cuenta, aún cuando estos datos no estuvieran visibles.
Si bien Twitter reconoció y eventualmente parchó esta vulnerabilidad, nunca se dijo nada respecto a si se había sacado provecho a la situación.
Desafortunadamente, resulta que sí, que un hacker obtuvo el botín y empezó a venderlo en sitios como Breached Forums por 30 mil dólares.
Nada menos que 5.4 millones de cuentas fueron impactadas por este hackeo, el cual fue tímidamente reconocido por Twitter muchos meses después, cuando ya era imposible seguir tapando lo sucedido.
Twitter admitió la triste realidad a principios de agosto, pero esta historia no finaliza aquí, pues han salido a relucir nuevos elementos en estos días.
De entrada, se pensaba que solo un hacker había logrado hacer daño aprovechando la vulnerabilidad señalada, pero ahora se sabe que múltiples actores participaron ahí.
Esta es una mala noticia no solo para Twitter, sino para los usuarios de la plataforma, y es por eso que se aconseja tener cautela con correos y enlaces no solicitados, pues la información del hackeo es muy personal y sensible, propensa a ser aprovechada en ataques de phishing.
Este no es un hackeo donde baste con cambiar la contraseña, pues lo que está en juego no es el acceso a Twitter, sino la privacidad y el buen uso de datos tan personales y sagrados como el número de teléfono. Esta información, combinada con lo que se comparte en Twitter, es suficiente para crear un perfil atractivo para vendedores de publicidad y usurpadores de identidad.
Lo peor de todo esto, sin duda, ha sido el manejo de Twitter, extensivo a quienes actualmente dirigen a esta red social.
No es solo que múltiples hackers se dieron vida explotando esta vulnerabilidad, sino que el hackeo ha sido más amplio de lo inicialmente reportado.
Ahora resulta que los datos de 1.4 millones de cuentas suspendidas andan sueltos por la dark web, lo mismo que la información de decenas de millones de cuentas más allá de las reportadas inicialmente.
Para referencia, Twitter tenía 238 millones de usuarios en el segundo trimestre del año, según declarara a Reuters un representante de la compañía en octubre pasado.
Todo lo que hemos comentado aquí es malo, pero lo que realmente corona todo es el hecho de que la cuenta Twitter del experto en seguridad que expuso esta última parte, Chad Loder, ha sido suspendida. No pocos lo ven como un intento de tapar el incidente.
Imposibilitado de usar Twitter, Loder está usando Mastodon para presentar las evidencias. Juzguen ustedes https://kolektiva.social/@chadloder/109406380942373215.
