El martes Twitter se disculpó por incluir la información de facturación de los clientes comerciales en la memoria caché del navegador, un lugar donde los no invitados podrían acceder, independientemente de no tener el derecho para hacerlo.
En un correo electrónico a sus clientes, Twitter dijo que era “posible” que otros pudieran haber accedido a información confidencial, que incluía direcciones de correo electrónico, números de teléfono y los últimos cuatro dígitos de los números de tarjeta de crédito de los clientes. Todos esos datos podrían dejar a las empresas vulnerables a campañas de phishing y al compromiso de correo electrónico comercial (BEC), un delito que, según el FBI, está siendo menos utilizado por bandas de ciberdelincuentes cada vez más sofisticados que se han aficionado a pasar a las nóminas.
Eso sí, Twitter no ha encontrado evidencia de que la información de facturación haya sido comprometida.
El 20 de mayo, Twitter actualizó las instrucciones en las que envía a la memoria caché del navegador, poniendo así freno al problema. Las dos plataformas afectadas son ads.twitter.com y analytics.twitter.co. Si vio su información de facturación en cualquiera de las plataformas antes del 20 de mayo, su información puede haberse quedado bloqueada en la memoria caché del navegador.
Cuidado con los navegadores compartidos
Twitter dijo que si se utilizó un ordenador compartido durante ese tiempo, alguien que usara el mismo ordenador después de ti podría haber visto la información de facturación almacenada en la memoria caché del navegador. La empresa señala que la mayoría de los navegadores generalmente almacenan datos en su caché de forma predeterminada durante un corto período de tiempo, por ejemplo, 30 días.
¿Qué hacer?
Twitter recomienda que aquellos que usan un ordenador compartido para acceder a la información de facturación de Twitter Ads o Analytics deben borrar la memoria caché del navegador cuando cierren sesión.
Mea culpa Twitter
Twitter se disculpa:
Lamentamos mucho que esto haya sucedido. Reconocemos y apreciamos la confianza que depositan en nosotros, y estamos comprometidos a ganar esa confianza todos los días.
La empresa no dijo cuántas cuentas se vieron afectadas.
Si tienes dudas, Twitter dice que puedes contactar con su Oficina de Protección de Datos, aquí.
No es el primer traspié
Esta no es la primera vez que Twitter tiene problemas con la seguridad de las cuentas.
En mayo de 2018, recibimos una advertencia de Twitter admitiendo que la compañía había cometido un grave error de seguridad: había estado almacenando copias no cifradas de contraseñas. Así es: almacenaron copias de contraseñas en texto sin formato.
Estás leyendo el blog de Sophos Iberia, por lo que es muy probable que ya sepas que las contraseñas de texto sin formato son una muy mala idea.
Unos años antes de eso, en junio de 2016, Twitter bloqueó a algunos usuarios después de que casi 33 millones de credenciales de inicios de sesión salieran a la venta. El robo fue atribuido a un conocido hacker y vendedor en la web oscura: un ruso conocido por el nombre de Tessa88. Twitter dijo en ese momento que sus sistemas no habían sido violados y que las credenciales de los inicios de sesión podrían provenir de otras filtraciones de contraseñas.
Esas son muchas contraseñas filtradas y alrededor de 33 millones de razones para repetir el mantra “usar una contraseña única y segura”. Aquí te mostramos cómo elegir una contraseña segura.
Otro problema es la reutilización de contraseñas, por supuesto. Ahí es donde un administrador de contraseñas es útil.
Sigue todos nuestros consejos para proteger tus credenciales, limpia la memoria caché del navegador si puedes estar potencialmente afectado por este problema de almacenamiento en la memoria caché del navegador, ¡y mantente a salvo!