Un incidente que afectó algunas cuentas e información privada en Twitter

Por
viernes, 12 agosto 2022

Queremos informarte sobre una vulnerabilidad que le permitió a un actor ingresar un número de teléfono o una dirección de correo electrónico en el flujo de inicio de sesión, con la intención de saber si estos estaban vinculados a una cuenta de Twitter y, de ser así, conocer a qué cuenta en específico. 

Nos tomamos muy en serio nuestra responsabilidad de proteger tu privacidad y lamentamos que esto haya ocurrido. Si bien no debes realizar ninguna acción específica, queremos compartirte más sobre lo que sucedió, contarte sobre las acciones que hemos tomado y algunas prácticas que implementamos para mantener tu cuenta segura.

Este Tweet no está disponible
Este Tweet no está disponible.

¿Qué sucedió?

En enero de 2022, recibimos un informe a través de nuestro programa de recompensas por bugs (errores de programación), sobre un error en los sistemas de Twitter. Como resultado de esto, si alguien envió una dirección de correo electrónico o un número de teléfono a través del sistema de Twitter, es probable que pudieran establecer a qué cuenta de Twitter estaban asociadas las direcciones de correo electrónico o los números de teléfono enviados, según correspondiera. Este bug se debió a una actualización de nuestro código, que se realizó en junio de 2021. Sin embargo, cuando nos enteramos de esto, lo investigamos de inmediato y lo solucionamos. En ese momento, no teníamos evidencia que sugiriera que alguien se había aprovechado de esta vulnerabilidad.

En julio de 2022, a través de un informe de prensa nos enteramos que alguien potencialmente había aprovechado esta vulnerabilidad, y estaba ofreciendo vender la información recopilada. Después de revisar una muestra de los datos disponibles para la venta, confirmamos que un actor malicioso se había aprovechado del problema antes de que fuera solucionado.

Notificaremos directamente a los titulares de las cuentas que confirmemos que fueron afectadas por esto. Publicamos esta actualización porque no podemos confirmar todas las cuentas que potencialmente fueron afectadas, y somos conscientes de que las personas que tienen cuentas seudónimas pueden ser blanco del Estado u otros actores.

¿Cómo proteger tu cuenta?

Si manejas una cuenta de Twitter seudónima, entendemos los riesgos que puede desencadenar un incidente como este, y lamentamos profundamente que haya sucedido. Para mantener tu identidad oculta, te recomendamos que no asocies un número de teléfono o una dirección de correo electrónico que sean conocidos públicamente a tu cuenta de Twitter.

Si bien no se expuso ninguna contraseña, recomendamos a todos los usuarios de Twitter que habiliten la autenticación de dos factores, mediante aplicaciones de autenticación o claves de seguridad de hardware para proteger tu cuenta de inicios de sesión no autorizados. Si te preocupa la seguridad de tu cuenta o tienes alguna pregunta sobre cómo protegemos tu información personal, puedes comunicarte con nuestra Oficina de Protección de Datos a través de este formulario.

Para obtener más información sobre cómo informar una vulnerabilidad de seguridad, visita nuestro Centro de ayuda, y para conocer más información sobre nuestros esfuerzos para proteger a Twitter de la manipulación de la plataforma, y la actividad respaldada por el Estado, visita el Informe de Transparencia de Twitter.

Este Tweet no está disponible
Este Tweet no está disponible.