AP.- Una vulnerabilidad en el software de Twitter que expuso a un número indeterminado de propietarios de cuentas anónimas a un posible compromiso de identidad el año pasado aparentemente fue explotada por un actor malicioso, dijo el viernes la compañía de redes sociales.
No confirmó un informe de que los datos de 5,4 millones de usuarios se ofrecieron a la venta en línea como resultado, pero dijo que los usuarios de todo el mundo se vieron afectados.
La violación es especialmente preocupante porque muchos propietarios de cuentas de Twitter, incluidos activistas de derechos humanos, no revelan sus identidades en sus perfiles por razones de seguridad que incluyen el temor a la persecución por parte de autoridades represivas.
“Esto es muy malo para muchos que usan cuentas de Twitter seudónimas”, tuiteó el experto en seguridad de datos de la Academia Naval de EE. UU., Jeff Kosseff.
La vulnerabilidad permitió que alguien determinara durante el inicio de sesión si un número de teléfono o dirección de correo electrónico en particular estaba vinculado a una cuenta de Twitter existente, revelando así a los propietarios de la cuenta, dijo la compañía.
Twitter dijo que no sabía cuántos usuarios podrían haberse visto afectados y enfatizó que no se expusieron las contraseñas.
“Podemos confirmar que el impacto fue global”, dijo un portavoz de Twitter por correo electrónico. “No podemos determinar exactamente cuántas cuentas se vieron afectadas o la ubicación de los titulares de las cuentas”.
El reconocimiento de Twitter en una publicación de blog el viernes siguió a un informe del mes pasado del grupo de defensa de la privacidad digital Restore Privacy que detalla cómo los datos presuntamente obtenidos de la vulnerabilidad se vendían en un popular foro de piratería por $ 30,000.
Un investigador de seguridad descubrió la falla en enero, informó a Twitter y se le pagó una recompensa de $ 5,000. Twitter dijo que el error, introducido en una actualización de software de junio de 2021, se solucionó de inmediato.
Twitter dijo que se enteró de la venta de datos en el foro de piratería a través de los informes de los medios y “confirmó que un mal actor se había aprovechado del problema antes de que se abordara”.
Dijo que estaba notificando directamente a todos los propietarios de cuentas que puede confirmar que se vieron afectados.
“Estamos publicando esta actualización porque no podemos confirmar todas las cuentas que se vieron potencialmente afectadas, y somos particularmente conscientes de las personas con cuentas seudónimas que pueden ser atacadas por el estado u otros actores”, dijo la compañía.
Recomendó a los usuarios que buscan mantener sus identidades ocultas que no agreguen un número de teléfono o dirección de correo electrónico conocidos públicamente a su cuenta de Twitter.
“Si opera una cuenta de Twitter seudónima, entendemos los riesgos que puede presentar un incidente como este y lamentamos profundamente que esto haya sucedido”, dijo.
La revelación de la violación se produce mientras Twitter se encuentra en una batalla legal con el CEO de Tesla, Elon Musk, por su intento de retractarse de su oferta anterior para comprar Twitter con sede en San Francisco por $ 44 mil millones.
