Los usuarios del servicio alternativo de Twitter/X, Spoutible, afirman que después de presionar al CEO de Spoutible, Christopher Bouzy, para que fuera más honesto sobre la naturaleza de los recientes problemas de seguridad, la compañía eliminó sus publicaciones. La afirmación, que la compañía niega, es el último acontecimiento extraño en una saga de incidentes de seguridad en la startup durante la semana pasada.
La semana pasada, Boosie reconoció una vulnerabilidad de seguridad en su startup, que se anuncia a sí misma como un Twitter más inclusivo y amable, que exponía las direcciones de correo electrónico y los números de teléfono de los usuarios. Pero Troy Hunt, investigador de seguridad y autor de Have I Been Pwned, un sitio web que le permite ver si sus datos se han visto comprometidos en una violación de datos, dice que la API de desarrollador de Spoutible también facilita que se descubra que los actores maliciosos están filtrando información. que podría usarse para hacerse cargo de cuentas sin el conocimiento del usuario.
En su sitio web, Hunt detalla sus hallazgos con respecto a este cargo mucho más serio, afirmando que la API Spoutible proporciona hashes bcrypt de las contraseñas de otros usuarios, secretos 2FA (autenticación de dos factores) y restablece las contraseñas de los usuarios, señaló que devolvió datos. que contiene un token que podría reutilizarse para hacerlo.
Esto significa que la vulnerabilidad podría explotarse fácilmente, permitiendo que actores maliciosos se apoderen de cuentas sin el conocimiento de los usuarios, informó The Verge en ese momento. Hunt fue alertado del problema por un tercero que afirmó haber extraído datos del servicio de Spoutible. ¿Me han engañado? consultar con xSpoutible recopiló 207.000 registros de usuarios, incluidos “nombre, correo electrónico, nombre de usuario, número de teléfono, sexo, hash de contraseña de bcrypt, secreto 2FA y token de restablecimiento de contraseña” de una API mal configurada.
En junio del año pasado, Spoutible tenía 240.000 usuarios registrados, por lo que esta infracción afectó a una parte importante de la base de usuarios de la pequeña red social (Spoutible se negó a revelar sus números de usuarios actuales).
Los investigadores de seguridad explicaron que la vulnerabilidad podría haber sido aprovechada por actores maliciosos para obtener versiones hash de las contraseñas de los usuarios. Aunque la contraseña estaba protegida con bcrypt, las contraseñas cortas pueden haber sido más fáciles de adivinar y descifrar. Además, los propietarios de cuentas no recibirían notificaciones por correo electrónico sobre cambios de contraseña, por lo que nunca habrían sabido que la cuenta ya no estaba bajo su control, señaló Hunt.
Cosas como esta deberían ser un problema para cualquier startup, pero especialmente si su base de usuarios está llena de usuarios pioneros que han probado Spoutible por un tiempo y luego pasaron a otra alternativa de Twitter. Esto plantea un problema para las startups donde las cuentas son fáciles de obtener. obtener.
Nueva infracción: Spoutible obtuvo 207.000 registros de una API mal configurada, incluidos nombres, correos electrónicos, nombres de usuario, números de teléfono, géneros, hashes de contraseñas de bcrypt, secretos 2FA y tokens de restablecimiento de contraseña. 74% ya lo ha hecho seguirMás información: https://t.co/Nz8tJ38INu
— Me han engañado (@haveibeenpwned) 5 de febrero de 2024
El director ejecutivo de Spoutible, Christopher Bouzy, reconoció la vulnerabilidad y la violación de datos y, después de abordar el problema, exigió a los usuarios que crearan nuevas contraseñas seguras. Pero calificó el descubrimiento de la vulnerabilidad como un “ataque” a la red de su empresa y afirmó que la persona que extrajo los datos era alguien que intentaba dañar la reputación de Spoutible.
“Creemos que esta persona es el cerebro detrás del ataque a Spoutible durante un año”, dijo Boosie en la publicación, refiriéndose al denunciante que envió a Hunt los registros eliminados.
En un correo electrónico con TechCrunch, Boosie dio más detalles sobre sus pensamientos y dijo:Lo dudoUn grupo llamado Doubtible, que surgió a principios del año pasado, está detrás de este ataque. Doubtible opera una cuenta de Twitter/X que “tuitea mentiras todos los días sobre Spoutible, yo y miembros destacados de nuestra comunidad”, dijo Boosie. “Creemos firmemente que este grupo está recopilando nuestros datos sin autorización”, reiteró Boosie en respuesta a la revisión de Trustpilot, añadiendo que no ha informado del incidente al FBI. También sugirió que así fue.
“No es necesario revisar más de 207.000 registros para descubrir vulnerabilidades”, continuó Boosie. “Pero incluir los datos hace que tenga mucho más interés periodístico. Si alguien estuviera buscando exponer vulnerabilidades para dañar la reputación de una empresa, el Sr. Hunt sería el contacto perfecto. Está claro por qué eligió hacerlo. Los tweets, publicaciones de blog y seguidores de Hunt Los videos de montaje son completamente consistentes con sus intenciones. La forma en que Hunt sensacionalizó y retrató el incidente es exactamente lo que esperaban. “Yo solía hacerlo”, agregó con complicidad.
Boosie dijo que la vulnerabilidad de seguridad surgió porque alguien de su equipo utilizó una función destinada a la API de configuración del usuario junto con una función diseñada para la API pública, lo que provocó que los correos electrónicos y números de teléfono cifrados aparecieran en texto sin formato. publicado. Dijo que Spoutible se está asociando con una empresa de seguridad para revisar más a fondo sus sistemas después del incidente.
Aún así, desde entonces varias personas han acusado a Bouzy de intentar restar importancia a la gravedad de la vulnerabilidad. Eso incluye al periodista de datos Dan Nguyen, quien recientemente compartió una publicación en Bluesky del empresario tecnológico Anil Dash advirtiendo a los usuarios que “dejen Spoutible”. Otro usuario de Bluesky describió vívidamente el volcado de datos de usuario de Spoutible como similar a “La venganza de Moctezuma”.
Las violaciones de datos ya son malas relaciones públicas para las nuevas empresas, pero ahora plantean dudas sobre si la empresa está silenciando a sus críticos.
Un usuario de Spoutible, Mike Natale, acusó públicamente al director ejecutivo de eliminar una publicación que publicó en el sitio de redes sociales pidiendo a Boosie que fuera más transparente.
“Boosie borró todas mis publicaciones y borró mi muro”, escribió Natale en respuesta a otro usuario de Blue Sky.
Crédito de la imagen: Mike Natale de Bluesky (Se abre en una ventana nueva)
En otra respuesta, Natale dijo que Boosie había vuelto a publicar originalmente la publicación de Spoutible para comentar sobre el incidente, pero que desde entonces continuó apoyando “teorías de que se trata de un ataque” y que “otras compañías tienen el mismo defecto”. de las publicaciones del Sr. Natale porque refutó la afirmación de que así era.
Las publicaciones desaparecidas no tienen las etiquetas habituales que indican eliminación. En Spoutible, las publicaciones eliminadas tienen adjunta una nota del sistema que dice “@usuario eliminó esta respuesta”. Por ejemplo, si Bouzy eliminó esta respuesta, verá “@bouzy eliminó esta respuesta”.
Pero en este caso, Natale dijo en un comentario en Bluesky que las publicaciones desaparecieron y que el feed principal de Spoutible no se cargaba.
Cuenta Twitter/X Doughtible también publicó sobre las afirmaciones de Natale. En respuesta a una solicitud de comentarios de TechCrunch, Natale dijo que alguien le alertó de que su publicación había sido eliminada después de su intercambio con Boosie.
Crédito de la imagen: publicación eliminada de Natale en Spoutible
“Spoutible hizo algo en mi cuenta justo después de que cuestioné el trabajo de Troy como parte de algún tipo de ataque”, dijo. Boosie lo “refutó” varias veces y Natale publicó varias veces tratando de dar más explicaciones. “Luego, otra plataforma me preguntó si había eliminado la publicación. No lo había hecho, así que volví a Spoutible. Mi muro no se cargaba realmente y todas mis publicaciones habían desaparecido ((excepto una o dos), así que abrí una billete”, dijo Natale.
https://twitter.com/doubtible/status/1755327407609815307
Mientras tanto, el director ejecutivo de Spoutible, Christopher Boosie, niega haber eliminado la publicación de Natale.
“En cuanto al problema del usuario Natale, no hemos eliminado su publicación ni su cuenta. Es posible que los usuarios eliminen su propio contenido y nos acusen falsamente”, dijo, insinuando nuevamente una conspiración. “Las acusaciones son infundadas y no merecen más discusión”, concluyó.
Después de que se publicó el artículo, Natale respondió a los comentarios de Boosie publicando una captura de pantalla de su perfil roto de Spoutible en la red rival Blue Sky. Su perfil dice que tiene “dos caños”, pero no se muestra ninguno.
Imagen cortesía de Mike Natale Imagen cortesía de Mike Natale
El incidente de Spoutible recuerda al de otra pequeña empresa, Hive. La compañía también experimentó importantes problemas de seguridad ya que se vio inundada de usuarios de Twitter poco después de su adquisición por parte de Elon Musk. En ese momento, la startup cerró completamente la aplicación, corrigió fallas críticas y la devolvió a la tienda de aplicaciones. Hive logró capear la tormenta y finalmente regresó, pero la oportunidad perdida significó que ya no fuera vista como una amenaza para Twitter.
Queda por ver si la reputación de Spoutible algún día se recuperará de esta mancha.
Actualizado con el comentario de Natalie el 13 de febrero de 2024 a las 7:30 a. m. ET. Actualizado con captura de pantalla el 15 de febrero de 2024 a las 2:36 p.m. ET.
Fuente: https://techcrunch.com/2024/02/12/twitter-alternative-spoutible-clashes-with-critics-over-security-breach/
