Ícono del sitio La Neta Neta

Twitter suspende ‘gran red’ de cuentas falsas utilizadas para hacer coincidir números de teléfono con usuarios

Twitter prohíbe a James O'Keefe de Project Veritas por política de cuentas falsas

Twitter anunció hoy que durante las vacaciones identificó y cerró “una gran red de cuentas falsas”, así como muchas otras “ubicadas en una amplia gama de países”, abusando colectivamente de una función que les permitía hacer coincidir los números de teléfono con las cuentas de los usuarios.

TechCrunch informó anteriormente sobre este mismo problema el 24 de diciembre, que también es el día en que Twitter dice que “se dio cuenta” de que se estaba produciendo un abuso. El investigador de seguridad Ibrahim Balic descubrió que un error en la aplicación de Android de Twitter le permitía enviar millones de números de teléfono a través de una API oficial, que devolvía cualquier cuenta de usuario asociada.

Recientemente descubrimos un problema que permitía a los malos actores hacer coincidir un número de teléfono específico con las cuentas correspondientes en Twitter. Rápidamente corregimos este problema y lamentamos que esto haya sucedido. Puede obtener más información sobre nuestra investigación aquí: https://t.co/Z6Q4geQ8jo

— Soporte de Twitter (@TwitterSupport) 3 de febrero de 2020

Él rasgo está destinado, si lo ha habilitado, a permitir que los amigos que tienen su número busquen su identificador de Twitter. Pero, obviamente, enviar millones de números va “más allá de su caso de uso previsto”.

Si había desactivado esta función, no se vio afectado por este error. Afortunadamente para los usuarios de la UE, esto fue opcional allí. Pero para el resto del mundo es optar por no participar, por lo que si tenía un número de teléfono asociado con su cuenta, es posible que se haya visto afectado.

Además, los números de teléfono incluyen los proporcionados para fines de autenticación de dos factores, por lo que los que se encuentran fuera de la UE pueden haber sido vulnerables a este exploit sin darse cuenta.

Parece que después de que Twitter fue alertado sobre el problema y cerró la red original (presuntamente la de Balic), sus investigadores identificaron muchas más cuentas que estaban explotando esta falla, aunque un representante se negó a proporcionar un número o una estimación.

“Observamos un volumen particularmente alto de solicitudes provenientes de direcciones IP individuales ubicadas dentro de Irán, Israel y Malasia”, escribió la compañía en un boletín de seguridad. “Es posible que algunas de estas direcciones IP puedan tener vínculos con actores patrocinados por el estado”, continuó la publicación.

Esta sospecha se justificó por la observación de acceso sin restricciones a Twitter desde las IP en Irán, donde la plataforma tiene bloqueado el acceso general, lo que sugiere la participación del gobierno. Belic, cuando fue contactado por TechCrunch, dijo que su trabajo no estaba patrocinado por el estado de ninguna manera.

Se suspendió cualquier cuenta sospechosa de abusar de la función, y la propia API se modificó para evitar una mayor explotación de este tipo. Le pregunté a la compañía cuántas cuentas se suspendieron y actualizaré esta publicación si recibo una respuesta.

Twitter ha tenido numerosos incidentes en los que expuso o filtró datos de usuarios durante el último año. Además de compartir demasiados datos con sus socios publicitarios, la empresa admitió que utilizó números de teléfono utilizados para la autenticación de dos factores para publicar anuncios dirigidos.




Source link

Salir de la versión móvil