Twitter ha negat que els correus electrònics suposadament vinculats a milions de comptes dels seus usuaris s'hagin obtingut mitjançant un pirateig.
En la seva primera declaració sobre l'assumpte, va escriure "no hi ha proves" que les dades provenien d'una fallada en els seus sistemes.
En canvi, els registres eren probablement una col·lecció de dades "ja disponibles públicament en línia", tot i que instava als usuaris a desconfiar dels correus electrònics falsos.
L'empresa que va donar l'alarma sobre les suposades filtracions, Hudson Rock, va dir que va contestar les conclusions de Twitter.
Alon Gal, cofundador de l'empresa d'intel·ligència sobre delictes cibernètics, va dir: "Insto els investigadors de seguretat a dur a terme un examen exhaustiu de les dades filtrades i descartar que Twitter conclou que les dades són un enriquiment d'algun tipus que no s'ha originat en les seves pròpies. servidors".
Recompenses d'errors
Al desembre, la Comissió de Protecció de Dades (DPC) d'Irlanda, el principal regulador de Twitter a la UE, va anunciar que investigava una filtració de dades vinculades a 5,4 milions de comptes.
Twitter diu que coincideix amb les dades revelades per una fallada de seguretat causada per una actualització del sistema el juny de 2021.
El defecte significava, segons Twitter, que si algú obtenia una adreça de correu electrònic o un número de telèfon, el sistema defectuós es podria utilitzar per identificar qualsevol compte de Twitter que hi estigués connectat.
Twitter diu que va investigar i solucionar l'error quan se'n va advertir el gener de 2022 mitjançant un esquema de "recompensa d'errors" que recompensa els investigadors que l'avisen dels problemes de seguretat.
Extorsió del fòrum de pirates informàtics
Al desembre, Hudson Rock va informar que un pirata informàtic anomenat Ryushi estava intentant extorsionar Twitter amb l'amenaça d'una filtració encara més gran.
Ryushi va afirmar tenir un munt de correus electrònics i números de telèfon filtrats associats a més de 400 milions de comptes d'usuari i es va oferir a "vendre'ls" exclusivament a Twitter.
El defecte del sistema de Twitter va ser com Ryushi va afirmar haver obtingut les dades.
Després dels informes de l'amenaça d'extorsió, el DPC va dir que "examinarà el compliment de Twitter de la llei de protecció de dades en relació amb aquest problema de seguretat".
Es va filtrar de nou
La setmana passada, una persona diferent va filtrar el que va dir que eren correus electrònics vinculats a 200 milions de comptes d'usuari i els va posar a disposició de qualsevol persona per baixar-los per una petita tarifa.
Twitter diu que els dos conjunts de dades són iguals, però amb les dades duplicades eliminades a la filtració més petita, i que cap dels dos prové de l'ús del defecte.
"A partir de la informació i la intel·ligència analitzada per investigar el problema, no hi ha evidència que les dades que es venen en línia s'hagin obtingut aprofitant una vulnerabilitat dels sistemes de Twitter", va dir la companyia.
"És probable que les dades siguin una col·lecció de dades que ja estan disponibles públicament en línia a través de diferents fonts".
Twitter no va dir si les adreces de correu electrònic són genuïnes o si es van relacionar correctament amb els comptes d'usuari i, si és així, com es va aconseguir.
El lloc de notícies Bleeping Computer havia informat anteriorment que havia comprovat diverses adreces de correu electrònic i havia trobat que eren reals.
Twitter va advertir als usuaris que "estiguessin més vigilants" i va dir que la informació filtrada es podria utilitzar per crear correus electrònics de pesca falsos "molt efectius".
El gegant de les xarxes socials ha afegit que ha comunicat les seves conclusions a les autoritats de protecció de dades pertinents.
