Twitter emitió hoy una advertencia que revela que los atacantes abusaron de una funcionalidad legítima en su plataforma para determinar sin autorización los números de teléfono asociados con millones de cuentas de sus usuarios.
Según Twitter, la vulnerabilidad residía en una de las API que ha sido diseñada para facilitar a los usuarios la búsqueda de personas que ya conocen en Twitter al hacer coincidir los números de teléfono guardados en sus contactos con las cuentas de Twitter.
Cabe señalar que la función funcionó exactamente como se pretendía, excepto que se suponía que alguien no debía cargar millones de números de teléfono generados aleatoriamente y abusar de Twitter para revelar perfiles asociados con la información de contacto que los usuarios agregaron a Twitter para habilitar las funciones de seguridad.
Aunque la compañía no está segura de si el error fue explotado por un solo adversario o por varios grupos, ha identificado varias cuentas involucradas en el ataque ubicadas en una amplia gama de países, principalmente de Irán, Israel y Malasia.
Con base en sus direcciones IP, Twitter cree que algunas de las cuentas que explotaron la falla de API pueden tener vínculos con actores patrocinados por el estado; por lo tanto, es «revelar este [incident] por precaución y por una cuestión de principios».
«Inmediatamente suspendimos estas cuentas y hoy les revelamos los detalles de nuestra investigación porque creemos que es importante que estén al tanto de lo que sucedió y cómo lo solucionamos», dijo Twitter en un comunicado. entrada en el blog.
La compañía se dio cuenta del problema el 24 de diciembre del año pasado después de que un investigador de seguridad explotó «poco éticamente» una laguna similar, o la misma, en Twitter para hacer coincidir con éxito casi 17 millones de números de teléfono con sus perfiles.
Twitter dice que el sitio de redes sociales ha abordado el problema desde entonces y no se requiere ninguna acción por parte de los usuarios.
«Después de nuestra investigación, inmediatamente hicimos una serie de cambios en este punto final para que ya no pudiera devolver nombres de cuenta específicos en respuesta a las consultas», dijo Twitter.
Sin embargo, si no lo sabe, también puede evitar que alguien encuentre su perfil en función de su dirección de correo electrónico o número de teléfono navegando a ‘Visibilidad‘configuración en su cuenta de Twitter y desactívela.