Twitter ha asegurado que «no hay pruebas» de que la filtración de datos de más de 200 millones de cuentas en un foro de piratería se haya producido debido a una vulnerabilidad de sus sistemas y ha indicado que es probable que estos estén disponibles públicamente a través de otras fuentes. La plataforma lleva meses siendo el objetivo de varias campañas maliciosas, que comenzaron en julio de 2022, cuando los ciberdelincuentes aprovecharon una vulnerabilidad de la interfaz de aplicaciones (API) de la plataforma.
Gracias a este fallo de seguridad, personas externas que ya tenían una dirección de correo electrónico o un número de teléfono asociado a una cuenta pudieron encontrar cualquier otra que hubiese compartido esos datos con la compañía. Inicialmente, Twitter fue víctima de un ciberataque que se saldó con el robo y la filtración de información de 5,4 millones de usuarios, un ataque que tuvo lugar en julio. A continuación, otro actor de amenazas aseguró poseer y vender en Breached Forums los datos de 400 millones de usuarios en Twitter extraídos a través de esta vulnerabilidad.
A principios de enero, Bleeping Computer informó de que otro actor había puesto a la venta un conjunto de datos pertenecientes a algo más de 200 millones de perfiles de Twitter. En total, 221.608.279 cuentas. Entonces, este medio indicó que la agrupación de datos no era nueva, sino que se trataba de la misma que la anterior –la de 400 millones de usuarios–, pero obtenida tras un proceso de limpieza en el que se borraron perfiles duplicados.
La compañía ha negado ahora que dicho ciberdelincuente haya podido conseguir los datos de las cuentas robadas mediante una explotación de una brecha. «Llevamos a cabo una investigación exhaustiva y no hay pruebas de que los datos vendidos recientemente se hayan obtenido mediante la explotación de una vulnerabilidad de los sistemas de Twitter», se puede leer en este comunicado. La red social ha hecho un repaso de lo sucedido a raíz de esta vulnerabilidad, consecuencia de una actualización de su código que tuvo lugar en junio de 2021. Con ello, ha comentado cuáles han sido las últimas conclusiones a las que ha llegado su equipo de Respuesta a incidentes y Privacidad y Protección.
