Un investigador de seguridad dijo que hizo coincidir 17 millones de números de teléfono con cuentas de usuario de Twitter al explotar una falla en la aplicación de Android de Twitter.
Ibrahim Balic descubrió que era posible cargar listas enteras de números de teléfono generados a través de la función de carga de contactos de Twitter. "Si carga su número de teléfono, obtiene los datos del usuario a cambio", dijo a TechCrunch.
Dijo que la función de carga de contactos de Twitter no acepta listas de números de teléfono en formato secuencial, probablemente como una forma de evitar este tipo de coincidencia. En cambio, generó más de dos mil millones de números de teléfono, uno tras otro, luego aleatorizó los números y los subió a Twitter a través de la aplicación de Android. (Balic dijo que el error no existía en la función de carga basada en la web).
Durante un período de dos meses, Balic dijo que comparó los registros de usuarios en Israel, Turquía, Irán, Grecia, Armenia, Francia y Alemania, dijo, pero se detuvo después de que Twitter bloqueó el esfuerzo el 20 de diciembre.
Balic le proporcionó a TechCrunch una muestra de los números de teléfono que hizo coincidir. Utilizando la función de restablecimiento de contraseña del sitio, verificamos sus hallazgos comparando una selección aleatoria de nombres de usuario con los números de teléfono proporcionados.
En un caso, TechCrunch pudo identificar a un político israelí de alto rango utilizando su número de teléfono coincidente.
Si bien no alertó a Twitter sobre la vulnerabilidad, llevó muchos de los números de teléfono de usuarios de Twitter de alto perfil, incluidos políticos y funcionarios, a un grupo de WhatsApp en un esfuerzo por advertir a los usuarios directamente.
No se cree que los esfuerzos de Balic estén relacionados con una publicación de blog de Twitter publicada esta semana, que confirmó que un error podría haber permitido que "un mal actor vea información de cuenta no pública o controle su cuenta", como tweets, mensajes directos e información de ubicación.
Un portavoz de Twitter, cuando fue contactado, no hizo comentarios inmediatamente fuera del horario comercial.
Es el último lapso de seguridad que involucra datos de Twitter en el último año. En mayo, Twitter admitió que proporcionó datos de ubicación de la cuenta a uno de sus socios, incluso si el usuario había optado por no compartir sus datos. En agosto, la compañía dijo que sin darse cuenta dio a sus socios publicitarios más datos de los que debería haber hecho. Y el mes pasado, Twitter confirmó que utilizó números de teléfono proporcionados por los usuarios para la autenticación de dos factores para servir anuncios dirigidos.
Balic es conocido por identificar una falla de seguridad que afectó al centro de desarrolladores de Apple en 2013.