Twitter accidentalmente expuesto la capacidad de extraer el código de país del número de teléfono de una cuenta y si la cuenta ha sido bloqueado por Twitter. La preocupación aquí es que los actores malintencionados podrían haber utilizado la falla de seguridad para averiguar en qué países se basaban las cuentas, lo que podría tener ramificaciones para los denunciantes o los disidentes políticos.
El problema llegó a través de uno de los formularios de soporte por ponerse en contacto con la empresa, y la empresa descubrió que una gran cantidad de consultas a través del formulario provenían de direcciones IP ubicadas en China y Arabia Saudita. Twitter escribe: “Si bien no podemos confirmar la intención o la atribución con certeza, es posible que algunas de estas direcciones IP tengan vínculos con actores patrocinados por el estado”. Hemos solicitado más información sobre por qué sugiere eso. La atribución en estas situaciones puede ser confusa, y nombrar países específicos o sugerir que los actores estatales podrían estar involucrados tiene serias implicaciones.
Twitter comenzó a trabajar en el problema el 15 de noviembre y lo solucionó el 16 de noviembre. Twitter le dice a TechCrunch que ha notificado al Comisionado de Protección de Datos de la Unión Europea, ya que los ciudadanos de la UE pueden haber sido afectados. Sin embargo, dado que los códigos de país no se consideran necesariamente información personal confidencial, es posible que la filtración no genere ninguna aplicación del RGPD o multas. Twitter nos dice que también ha actualizado a la FTC y otras organizaciones reguladoras sobre el tema, aunque hemos preguntado cuándo informó a estos diferentes reguladores.
Twitter se ha puesto en contacto directamente con los usuarios afectados por el problema y dice que no se filtraron los números de teléfono completos y que los usuarios no tienen que hacer nada en respuesta. Usuarios puede contactar Twitter aquí para más información. Preguntamos cuántas cuentas se vieron afectadas, pero Twitter nos dijo que no tiene más datos para compartir mientras continúa su investigación.
Un portavoz de Twitter nos señaló una declaración anterior:
Está claro que las operaciones de información y el comportamiento no auténtico coordinado no cesarán. Este tipo de tácticas existen desde hace mucho más tiempo que Twitter: se adaptarán y cambiarán a medida que el terreno geopolítico evolucione en todo el mundo y surjan nuevas tecnologías. Por nuestra parte, estamos comprometidos a comprender cómo los actores de mala fe utilizan nuestros servicios. Continuaremos combatiendo proactivamente los intentos nefastos de socavar la integridad de Twitter, mientras nos asociamos con la sociedad civil, el gobierno, nuestros pares de la industria y los investigadores para mejorar nuestra comprensión colectiva de los intentos coordinados de interferir en la conversación pública.
La seguridad descuidada por parte de las empresas de tecnología puede volverla peligrosa para los disidentes políticos u otras personas en desacuerdo con sus gobiernos. Twitter explica que bloquea las cuentas si sospecha que han sido comprometidas por piratas informáticos o violan las “Reglas de Twitter”, que incluye el “uso ilegal” que depende en gran medida de lo que los gobiernos nacionales consideren ilegal. Lo preocupante es que los atacantes con direcciones IP en China o Arabia Saudita podrían haber podido usar el exploit para confirmar que ciertas cuentas pertenecían a usuarios en sus países y si estaban bloqueadas. Esa información podría usarse para buscar a las personas que poseen estas cuentas.
La compañía se disculpó y escribió que “Reconocemos y apreciamos la confianza que deposita en nosotros, y estamos comprometidos a ganarnos esa confianza todos los días. Lamentamos que esto haya sucedido “. Pero eso se hace eco de otras disculpas de las grandes empresas de tecnología que siempre suenan huecas. Aquí, en particular, no reconoce cómo la fuga podría dañar a las personas y cómo evitará que este tipo de cosas vuelvan a suceder. Dado que estas empresas son juzgadas trimestralmente por el crecimiento de sus usuarios y el negocio, se les incentiva a tomar atajos en seguridad, privacidad e impacto social mientras persiguen el favor de Wall Street.