Un ciberdelincuente ha logrado explotar una vulnerabilidad de Twitter, mediante la cual ha conseguido recopilar los números de teléfono y direcciones de correo electrónico de más de 5.4 millones de usuarios. El autor del delito, conocido por el pseudónimo ‘Devil’, ha puesto a la venta la base de datos por más de 30.000$ y afirma que esta contiene datos de todo tipo de usuarios, incluyendo celebridades, empresas reconocidas, etc.
El atacante afirma que hizo uso de una vulnerabilidad descubierta en diciembre de 2021 para recopilar todos los datos. Dicha vulnerabilidad ya ha sido parcheada, pero permitía a los usuarios obtener información de cualquier otra cuenta mediante el envío de un número de teléfono o correo electrónico, a pesar de que el autor de la cuenta hubiese prohibido esa posibilidad en su panel de configuración.
Por el momento, Twitter no ha confirmado la filtración datos y ha afirmado estar verificando la autenticidad de las reclamaciones. Sin embargo, BleepingComputer afirma haber tenido acceso a una muestra de dicha base de datos y pudo corroborar que la información contenida en dicha muestra era real.
Aunque prácticamente la totalidad de los datos filtrados son de acceso público, estas bases de datos suelen tener un elevado precio en el mercado negro, ya que son utilizadas por otros ciberdelincuentes para llevar a cabo ataques de phishing. De esta manera, se recomienda a los usuarios de Twitter estar especialmente alerta durante los próximos meses y que, bajo ningún concepto, introduzcan sus credenciales de acceso sin haber revisado la procedencia de los mensajes y correos que reciban.