Un pirata informático desconocido o un grupo de piratas informáticos ha puesto en línea una base de datos que contiene las direcciones de correo electrónico y los números de teléfono asociados con 5.4 millones de cuentas de Twitter. El atacante pudo recuperar los datos a través de un error que ya se ha solucionado.
La base de datos se proporciona en Breach Forums y fue descubierta por Restore Privacy. Los atacantes quieren “al menos $30,000” por la base de datos. La base de datos no contiene contraseñas, pero sí las direcciones de correo electrónico o los números de teléfono, o ambos, de un total de 5,485,636 usuarios de Twitter. El atacante dice que la violación de datos contiene cuentas de celebridades y empresas. Restore Privacy pudo determinar que la filtración es auténtica, pero no si la afirmación de que había nombres famosos en ella.
El atacante accedió a la vulnerabilidad a través de una vulnerabilidad conocida que ya se ha solucionado. La vulnerabilidad fue presentada el 1 de enero en la plataforma de recompensas por errores HackerOne por un investigador de seguridad. Era un error en el cliente de Android que requería que un atacante hiciera una solicitud POST a la API de incorporación de Twitter. El investigador de seguridad describe el problema en detalle en HackerOne. Twitter detectó la vulnerabilidad y la arregló el 13 de enero. Los detalles se publicaron el 11 de febrero y el investigador recibió una recompensa de $ 5040. No se sabe cómo el atacante que ahora ofrece la base de datos obtuvo la información para realizar el hackeo.