El rival de Twitter, Spoutible, alega una campaña de difamación en medio de una controversia sobre violaciones de seguridad

Un usuario en la alternativa Twitter/X Cañon afirma que la compañía eliminó sus publicaciones después de que presionaron al director ejecutivo de Spoutible, Christopher Bouzy, para que fuera más honesto sobre la naturaleza de su reciente problema de seguridad. Las afirmaciones, que la compañía niega, son el último giro extraño en la saga de incidentes de seguridad que tuvo lugar la semana pasada en la startup.

La semana pasada, Bouzy reconoció una vulnerabilidad de seguridad que, según él, había expuesto los correos electrónicos y números de teléfono de los usuarios en su inicio, posicionado como un Twitter más inclusivo y amable. Sin embargo, el investigador de seguridad Troy Hunt, creador del ¿Me han engañado? El sitio web, que permite a las personas verificar si sus datos se vieron comprometidos en una violación de datos, descubrió que la API de desarrollador de Spoutible también estaba exponiendo información que los malos actores podrían haber utilizado para apoderarse de las cuentas de los usuarios sin que ellos lo supieran.

Caza detalló sus hallazgos de ese cargo mucho más serio en su sitio webseñalando que la API Spoutible devolvió datos que incluyen el hash bcrypt de la contraseña de cualquier otro usuario, además de secretos 2FA (de dos factores) y el token que podría reutilizarse para restablecer la contraseña de un usuario.

En resumen, esta vulnerabilidad era altamente explotable y podría haber permitido que un mal actor se hiciera cargo de la cuenta de un usuario sin que este lo supiera, como The Verge informó en ese momento. Hunt había sido alertado sobre este problema por un tercero que afirmó haber extraído datos del servicio de Spoutible. Como la cuenta de Have I Been Pwned confirmado en XSpoutible tenía 207.000 registros de usuario eliminados de su API mal configurada, incluidos “nombre, correo electrónico, nombre de usuario, teléfono, género, hash de contraseña de bcrypt, secreto 2FA y token de restablecimiento de contraseña”.

Desde junio pasado, Spoutible tenía 240.000 usuarios registradospor lo que la infracción afectó a una buena parte de la base de usuarios de la red social más pequeña.

El investigador de seguridad explicó que la vulnerabilidad podría haber sido aprovechada por malos actores, que habrían podido obtener una versión hash de las contraseñas de los usuarios. Aunque las contraseñas estaban protegidas mediante bcrypt, las contraseñas más cortas podrían haber sido más fáciles de adivinar y descifrar. Además, no se enviaría ninguna notificación por correo electrónico al titular de la cuenta sobre el cambio de contraseña, por lo que nunca habría sabido si su cuenta ya no estaba bajo su control, señaló Hunt.

Este tipo de cosas habría sido un problema para cualquier startup, pero particularmente para una en la que la base de usuarios está llena de usuarios pioneros que pueden simplemente haber probado Spoutible por un tiempo antes de pasar a otra alternativa de Twitter, dejando cuentas semiabandonadas listas para usar. la toma.

El director ejecutivo de Spoutible, Christopher Bouzy, confirmó la violación y la vulnerabilidad de los datos y la empresa exigió a los usuarios que crearan contraseñas nuevas y más seguras, después abordando el problema. Sin embargo, también se refirió al descubrimiento de la vulnerabilidad como “un ataque” a su red y alegó que la persona que extrajo los datos era alguien que tenía la intención de dañar la reputación de Spoutible.

“Estamos… seguros de que la persona involucrada es el cabecilla que ha estado atacando a Spoutible durante un año”. Bouzy dijo en una publicaciónrefiriéndose al notificador que envió a Hunt los registros eliminados.

En un correo electrónico con TechCrunch, Bouzy expuso sus ideas con más detalle, alegando que el grupo en línea conocido como “dudoso”, que surgió a principios del año pasado, estaba detrás del ataque. Doubtible tiene una cuenta de Twitter/X donde han “tuiteado diariamente falsedades sobre Spoutible, sobre mí y sobre miembros prominentes de nuestra comunidad”, dijo Bouzy. “Creemos firmemente que este grupo está detrás de la extracción no autorizada de nuestros datos”: una acusación Bouzy repitió en una respuesta. a una reseña en Trustpilot, donde también sugirió que estaba alertando al FBI sobre el asunto.

“Alguien no tiene que extraer más de 207.000 registros para revelar una vulnerabilidad”, continuó Bouzy. “Sin embargo, al incluir también datos, los hace significativamente más interesantes. Si alguien pretende exponer una vulnerabilidad que manche la reputación de una empresa, el Sr. Hunt sería su contacto ideal. La razón detrás de su elección es clara: los tweets, la publicación del blog y el video de seguimiento del Sr. Hunt se alinean perfectamente con sus intenciones. La forma en que el señor Hunt sensacionalizó y retrató el incidente es exactamente lo que esperaban”, añadió en tono conspirativo.

Bouzy afirma que la vulnerabilidad de seguridad surgió porque alguien de su equipo utilizó una función destinada a la API de configuración del usuario con una función diseñada para la API pública, razón por la cual los correos electrónicos y números de teléfono cifrados quedaron expuestos en texto sin formato. Dijo que Spoutible ahora se ha asociado con una empresa de seguridad para revisar más a fondo sus sistemas, a la luz de este incidente.

Aun así, desde entonces varias personas han acusado a Bouzy de intentar restar importancia a la gravedad de la vulnerabilidad, entre ellas periodista de datos Dan Nguyenquien recientemente compartió sobre el emprendedor tecnológico Publicación de Anil Dash en Bluesky advirtiendo a los usuarios que “dejen de hablar”. Otro usuario de Bluesky se refirió de manera colorida al vertido de datos de usuarios por parte de Spoutible como algo similar a “La venganza de Moctezuma”.

Aunque una filtración de datos ya es una mala imagen para una startup, ahora hay dudas sobre si la empresa está silenciando o no a sus críticos.

Un usuario de Spoutible, Mike Natale, ha declarado públicamente acusó al CEO de borrar sus publicaciones en la red social, donde había presionado a Bouzy para que fuera más transparente.

“Bouzy… borró todas mis publicaciones y borró mi muro”, escribió Natale, en respuesta a otro usuario de Bluesky.

En otra respuesta, natale que Bouzy inicialmente había vuelto a publicar sus publicaciones en Spoutible para comentar sobre el asunto, pero luego eliminó todas las publicaciones de Natale cuando rechazó “la narrativa de que esto era un ataque” y “que otras compañías han tenido los mismos defectos”.

Las publicaciones que faltan no incluyen la etiqueta habitual que indica su eliminación. En Spoutible, las publicaciones que se eliminan tienen adjunta una nota del sistema que dice “@usuario eliminó esta respuesta”. Por ejemplo, si Bouzy hubiera eliminado la respuesta, habría leído “@bouzy eliminó esta respuesta”.

Pero en este caso, Natale dijo en comentarios en Bluesky que las publicaciones simplemente desaparecieron y su feed principal de Spoutible ni siquiera se carga.

La cuenta Twitter/X Doubtible también publicó sobre las afirmaciones de Natale. Natale no ha respondido solicitudes de comentarios.

Mientras tanto, el director ejecutivo de Spoutible, Christopher Bouzy, niega haber eliminado las publicaciones de Natale.

“Con respecto al problema con la usuaria Natale, no eliminamos sus publicaciones ni su cuenta. Es posible que los usuarios eliminen su propio contenido y luego nos acusen falsamente”, dijo, sugiriendo nuevamente una conspiración. “La acusación es infundada y no merece mayor discusión”, concluyó.

El incidente en Spoutible recuerda a otra empresa más pequeña, Hive, que también experimentó un importante problema de seguridad después de verse inundada de usuarios de Twitter poco después de la adquisición de Elon Musk. En ese caso, la startup cerró completamente su aplicación para corregir las fallas críticas antes de regresar a la tienda de aplicaciones. Hive logró capear la tormenta y finalmente regresar, pero ya no se lo considera una amenaza para Twitter después de perder la oportunidad.

También está por verse si la reputación de Spoutible se recuperará de esta mancha.



Fuente