Una vulnerabilidad de día cero en la base de código de Twitter fue la responsable de una importante filtración de datos que se cree que afectó a 5,4 millones de usuarios, según ha revelado la empresa de redes sociales.

El actor de la amenaza esperaba vender los datos de los perfiles por 30.000 dólares en un sitio de ciberdelincuencia. Parte de la información se extrajo de los perfiles públicos de Twitter, incluyendo la ubicación y la URL de las imágenes. Sin embargo, fueron capaces de vincular los correos electrónicos y los números de teléfono de las cuentas con los ID de las mismas aprovechando la vulnerabilidad.

«En enero de 2022, recibimos un informe a través de nuestro programa de recompensas por errores de una vulnerabilidad en los sistemas de Twitter. Como resultado de la vulnerabilidad, si alguien enviaba una dirección de correo electrónico o un número de teléfono a los sistemas de Twitter, los sistemas de Twitter le dirían a la persona a qué cuenta de Twitter estaba asociada la dirección de correo electrónico o el número de teléfono enviados, si es que había alguno», explicó Twitter.

«Este error fue el resultado de una actualización de nuestro código en junio de 2021. Cuando nos enteramos de esto, inmediatamente investigamos y lo arreglamos. En ese momento, no teníamos ninguna evidencia que sugiriera que alguien se había aprovechado de la vulnerabilidad.»

Sin embargo, la firma se dio cuenta el mes pasado de que un actor malicioso sí había podido aprovecharse del fallo antes de que lograra parcharlo.

La empresa recomienda a quienes utilizan Twitter de forma seudónima que no añadan a su cuenta un número de teléfono o una dirección de correo electrónico conocidos públicamente.

También, sugiere a los usuarios que activen la autenticación de dos factores para una mayor seguridad de inicio de sesión, utilizando una aplicación dedicada o llaves de seguridad de hardware. Sin embargo, no se robaron contraseñas en el ataque.