Twitter ha confirmado que una vulnerabilidad en su código provocó una exposición de datos a fines del año pasado. En una publicación de blog publicada el viernes, la compañía dijo que un actor malicioso se aprovechó de una falla de día cero antes de darse cuenta y solucionar el problema en enero de 2022. La vulnerabilidad fue descubierta por un investigador de seguridad que contactó a Twitter a través programa de recompensas de errores de la compañía.

Cuando Twitter se enteró por primera vez de la falla, dijo que “no tenía evidencia” que sugiriera que había sido explotada. Sin embargo, una persona le dijo a Bleeping Computer el mes pasado que aprovecharon la vulnerabilidad para obtener datos de más de 5,4 millones de cuentas. Twitter dijo que no podía confirmar cuántos usuarios se vieron afectados por la exposición. La vulnerabilidad permitió al malhechor determinar si una dirección de correo electrónico o un número de teléfono estaban vinculados a una cuenta de Twitter existente. A su vez, podrían usar esa información para determinar la identidad del propietario de una cuenta.

“Estamos publicando esta actualización porque no podemos confirmar todas las cuentas que se vieron potencialmente afectadas, y somos particularmente conscientes de las personas con cuentas seudónimas que pueden ser atacadas por el estado u otros actores”, dijo Twitter. “Si opera una cuenta de Twitter seudónima, entendemos los riesgos que puede presentar un incidente como este y lamentamos profundamente que esto haya sucedido”.

Twitter dijo que notificaría directamente a cada propietario de cuenta que pudiera confirmar que se vio afectado por la exposición. Para los usuarios que intentan mantener oculta su identidad, la compañía recomienda no agregar un número de teléfono o dirección de correo electrónico conocidos públicamente a una cuenta. También sugiere agregar autenticación de dos factores.