La Comisión de Protección de Datos de Irlanda (DPC, por sus siglas en inglés) ha iniciado una investigación tras las noticias del mes pasado sobre una fuga masiva de datos de Twitter.
Esta filtración afectó a más de 5,4 millones de usuarios de Twitter e incluyó tanto información pública extraída del sitio como números de teléfono privados y direcciones de correo electrónico. Los datos se obtuvieron mediante la explotación de una vulnerabilidad API que Twitter había solucionado en enero.
En un comunicado el viernes, el regulador de privacidad irlandés dijo: “El DPC mantuvo correspondencia con Twitter International Unlimited Company (‘TIC’) en relación con una violación de datos personales notificada que TIC afirma ser la fuente de vulnerabilidad utilizada para generar los conjuntos de datos y las consultas planteadas. en relación con el cumplimiento del RGPD”.
También agregó que cree que “una o más disposiciones del RGPD y/o la Ley pueden haber sido y/o están siendo infringidas en relación con los datos personales de los usuarios de Twitter”.
El DPC, que actúa como el principal organismo de control de la UE de Twitter, quiere determinar si el gigante de las redes sociales ha cumplido con sus obligaciones como controlador de datos con respecto al procesamiento de los datos de los usuarios y si ha violado alguna disposición del Reglamento General de Protección de Datos (EU GDPR) o la Ley de Protección de Datos de 2018.
Hace dos años, el DPC multó a Twitter con 450 000€ por no notificar al DPC sobre una infracción dentro del plazo de 72 horas requerido por el RGPD y por documentar inadecuadamente la infracción.
En noviembre de 2021, el DPC también multó a Meta con 265 millones de euros por una importante filtración de datos en Facebook que expuso la información personal de cientos de millones de usuarios en todo el mundo.
Los datos de los usuarios de Facebook también se compartieron en un conocido foro de piratería, lo que permitió a los actores de amenazas usarlos para ataques dirigidos.
Datos robados de usuarios de Twitter a la venta desde julio
En julio de 2022, la información privada de más de 5,4 millones de usuarios de Twitter se puso a la venta en un foro de piratería por 30.000 dólares.
Si bien la mayoría de los datos estaban disponibles públicamente, como ID de Twitter, nombres, nombres de inicio de sesión, ubicaciones y estado verificado, la base de datos filtrada también incluía información no pública, como direcciones de correo electrónico y números de teléfono.
Estos datos se recopilaron en diciembre de 2021 a través de una vulnerabilidad de la API de Twitter revelada a través del programa de recompensas por errores HackerOne, que permitía a cualquiera enviar números de teléfono o direcciones de correo electrónico a la API para vincularlos a su ID de Twitter asociado.
Después de que BleepingComputer compartiera una muestra de los registros de usuarios robados con Twitter, la empresa confirmó que había experimentado una violación de datos vinculada a atacantes que usaban este error de API, que se solucionó en enero de 2022.
BleepingComputer descubrió que el error fue explotado por Pompompurin, el propietario del foro de piratería Breached, quien también recopiló la información de 1,4 millones de usuarios de Twitter suspendidos adicionales utilizando una API diferente. Esto elevó el número total de perfiles de Twitter recopilados para obtener información privada a casi 7 millones.
Durante septiembre y noviembre, la misma base de datos que contiene 5.485.635 registros de usuarios de Twitter también se compartió de forma gratuita en un foro de piratería.
Los registros contienen una gran cantidad de datos de usuarios públicos y privados, incluidas direcciones de correo electrónico personales o números de teléfono, así como datos recopilados públicamente, como la ID de Twitter, el nombre, el nombre de pantalla, el estado verificado, la ubicación, la URL, la descripción, el número de seguidores, fecha de creación de la cuenta, recuento de amigos, recuento de favoritos, recuento de estados y URL de imagen de perfil.
Datos raspados de Twitter a la venta (BleepingComputer)
Hola, hoy les presento datos recopilados sobre múltiples usuarios que usan Twitter a través de una vulnerabilidad. (5485636 usuarios para ser exactos)
Estos usuarios van desde celebridades hasta empresas, aleatorios, OG, etc.
Los datos que se recopilaron van desde el correo electrónico y los números de teléfono hasta todas estas cuentas.
Muestra: Imagen borrosa – Imagen traducida
Datos pertenecientes a decenas de millones de otros usuarios también robados
El experto en seguridad Chad Loder también reveló en Twitter y Mastodon detalles sobre un volcado de datos aún mayor que podría contener millones de registros de Twitter con números de teléfono personales que se recopilaron mediante un error de API previamente corregido y cierta información disponible públicamente, como estado verificado, nombres de cuenta, ID de Twitter, biografía y nombre de pantalla.
“Acabo de recibir evidencia de una violación masiva de datos de Twitter que afecta a millones de cuentas de Twitter en la UE y EE. UU.”, dijo Loder.
“Me puse en contacto con una muestra de las cuentas afectadas y confirmaron que los datos violados son precisos. Esta violación no ocurrió antes de 2021”.
BleepingComputer ha verificado con varios usuarios afectados que los números de teléfono en esta violación de datos son válidos.
Vale la pena señalar que ninguno de los números de teléfono en esta base de datos filtrada estaba presente en los datos originales vendidos en agosto de 2002, lo que demuestra el importante intercambio de datos de usuarios de Twitter entre los actores de amenazas y el alcance de la violación de datos más allá de lo que se conocía anteriormente.
Información sobre una fuga de datos de Twitter más grande compartida en Mastodon (BleepingComputer)
La violación masiva de datos de Twitter es real. Aquí hay una pequeña oferta de prueba. Hay datos de países enteros en el conjunto de datos. – Imagen traducida
Fuente: BleepingComputer, Sergiu Gatlan
