La compañía notificó a los afectados y suspenderá a usuarios que exploten el fallo.

Twitter ha notificado que pudieron haber sido expuestos correos electrónicos y números telefónicos de 10 mil usuarios debido a un fallo en la característica de recuperación de contraseñas del sitio web.

El incidente sucedió en el transcurso de 24 horas de un día no especificado de la semana del 14 al 20 de febrero, pero la compañía avisó a los usuarios el miércoles de la semana siguiente.

"Cualquier usuario que encontremos que explote el fallo para ingresar a la información de otro usuario será suspendido permanentemente. También vamos a participar en la aplicación de la ley en caso necesario, para que se lleve a cabo una investigación a fondo y poder levantar cargos", indicó Twitter en una publicación de blog.

No es común que se abuse de las características del sitio que exponen información de los usuarios, como el correo electrónico o el número telefónico. En 2012, Facebook impuso un límite de intentos de búsqueda de números telefónicos en su sitio web, debido a un agujero de seguridad que permitía a los atacantes buscar secuencialmente a través de los números de teléfono y encontrar usuarios existentes.

Otras brechas de información personal pueden ser difíciles de detectar por los usuarios. Por ejemplo, recientemente las violaciones de datos en los sitios para citas Adult Friend Finder y Ashley Madison enfurecieron a muchos usuarios cuyos cónyuges, padres o amigos no sabían que tenían cuenta ahí.

Sin embargo, muchos de esos usuarios desconocían que, incluso antes de que los hackers entraran en el sitio, cualquiera podría haber verificado si su correo electrónico estaba registrado en las secciones de recuperación de contraseñas.

Los usuarios no pueden confiar en los sitios web para mantener privada su afiliación a esos servicios, porque son comunes los huecos en la información de registro. Desde una perspectiva de seguridad, los usuarios aprecian que su privacidad pueda hacer uso de las herramientas disponibles para proteger sus cuentas de posible secuestro, por ejemplo al habilitar la autenticación de dos factores cuando está disponible.

Twitter ofrece una característica llamada "verificación de inicio de sesión" que requiere que el usuario proporcione un código de un sólo uso enviado a sus teléfonos y adicional a su contraseña cuando se autentican. Twitter también ofrece la opción de solicitar información adicional, como la del correo electrónico del usuario o el número telefónico, cuando se solicita un cambio de contraseña. Esta opción puede ser encontrada en la configuración de seguridad y privacidad de la página. Sin ella, el cambio de contraseña sólo requiere el nombre de usuario.

Los usuarios de Twitter pueden considerar también el uso de contraseñas fuertes o passphrases de 10 o más caracteres, revisar periódicamente la bitácora de inicio de sesión, las pestañas de la aplicación y revocar el acceso a cualquier aplicación que no ha sido usada por algún tiempo.