Twitter ha asegurado que «no hay pruebas» de que la filtración de datos de más de 200 millones de cuentas en un foro de piratería se haya producido debido a una vulnerabilidad de sus sistemas y ha indicado que es probable que estos estén disponibles públicamente a través de otras fuentes.
La plataforma lleva meses siendo el objetivo de varias campañas maliciosas, que comenzaron en julio de 2022, cuando los ciberdelincuentes aprovecharon una vulnerabilidad de la interfaz de aplicaciones (API) de la plataforma.
Gracias a este fallo de seguridad, personas externas que ya tenían una dirección de correo electrónico o un número de teléfono asociado a una cuenta pudieron encontrar cualquier otra que hubiese compartido esos datos con la compañía.
Inicialmente, Twitter fue víctima de un ciberataque que se saldó con el robo y la filtración de información de 5,4 millones de usuarios, un ataque que tuvo lugar en julio. A continuación, otro actor de amenazas aseguró poseer y vender en Breached Forums los datos de 400 millones de usuarios en Twitter extraídos a través de esta vulnerabilidad.
A principios de enero, Bleeping Computer informó de que otro actor había puesto a la venta un conjunto de datos pertenecientes a algo más de 200 millones de perfiles de Twitter. En total, 221.608.279 cuentas.
Entonces, este medio indicó que la agrupación de datos no era nueva, sino que se trataba de la misma que la anterior --la de 400 millones de usuarios--, pero obtenida tras un proceso de limpieza en el que se borraron perfiles duplicados.
La compañía ha negado ahora que dicho ciberdelincuente haya podido conseguir los datos de las cuentas robadas mediante una explotación de una brecha. "Llevamos a cabo una investigación exhaustiva y no hay pruebas de que los datos vendidos recientemente se hayan obtenido mediante la explotación de una vulnerabilidad de los sistemas de Twitter", se puede leer en este comunicado.
La red social ha hecho un repaso de lo sucedido a raíz de esta vulnerabilidad, consecuencia de una actualización de su código que tuvo lugar en junio de 2021. Con ello, ha comentado cuáles han sido las últimas conclusiones a las que ha llegado su equipo de Respuesta a incidentes y Privacidad y Protección.
En primer lugar, ha recordado que las 5,4 millones de cuenta de usuarios informadas por los medios de comunicación en el mes de noviembre se correspondían con las ya expuestas en agosto de 2022.
Por otra parte, ha comentado que "los 400 millones de instancias de datos de usuario en la segunda supuesta violación no pudieron correlacionarse con el incidente informado anteriormente ni con ningún incidente nuevo".
Con ello, ha señalado que el último conjunto de datos, el reportado en enero de más de 200 millones de cuentas tampoco guarda relación con los incidentes anteriores «ni con ningún dato que se origine de una explotación de los sistemas de Twitter».
Asimismo, ha confirmado que ambas agrupaciones de datos eran idénticas y que en el segundo se eliminaron cuentas duplicadas. Por último, Twitter ha subrayado que no hay evidencia de que los datos que se venden en línea se hayan obtenido mediante la explotación de una vulnerabilidad de sus sistemas.
"Es probable que los datos sean una colección de datos que ya están disponibles públicamente en línea a través de diferentes fuentes«, ha concluido. También, ha asegurado que está en contacto con las autoridades de protección de datos y otros reguladores »para brindar aclaraciones sobre los supuestos incidentes" y que continuará monitoreándolos.