Gorjeo anunció hoy que durante las vacaciones identificó y cerró “una gran red de cuentas falsas”, así como muchos otros “ubicados en una amplia gama de países”, abusando colectivamente de una función que les permitía hacer coincidir los números de teléfono con las cuentas de los usuarios.
TechCrunch informó anteriormente este mismo problema el 24 de diciembre, que también es el día en que Twitter dice que “se dio cuenta” de que el abuso estaba ocurriendo. El investigador de seguridad Ibrahim Balic descubrió que un error en la aplicación de Android de Twitter le permitió enviar millones de números de teléfono a través de una API oficial, que devolvió cualquier cuenta de usuario asociada.
los característica está destinado, si lo ha habilitado, a permitir que los amigos que tienen su número busquen su identificador de Twitter. Pero, obviamente, enviar millones de números va “más allá de su caso de uso previsto”.
Si desactivó esta función, no se vio afectado por este error. Afortunadamente para los usuarios en la UE, esto fue una opción allí. Pero para el resto del mundo es una opción de exclusión, por lo que si tenía un número de teléfono asociado con su cuenta, es posible que se haya visto afectado.
Además, los números de teléfono incluyen los proporcionados con fines de autenticación de dos factores, por lo que aquellos fuera de la UE pueden haber sido vulnerables a esta vulnerabilidad sin darse cuenta.
Parece que después de que Twitter fue alertado sobre el problema y cerró la red original (presumiblemente de Balic), sus investigadores identificaron muchas más cuentas que estaban explotando esta falla, aunque un representante se negó a proporcionar un número o una estimación.
“Observamos un volumen particularmente alto de solicitudes provenientes de direcciones IP individuales ubicadas dentro de Irán, Israel y Malasia”, escribió la compañía en un boletín de seguridad. “Es posible que algunas de estas direcciones IP puedan tener vínculos con actores patrocinados por el estado”, continuó la publicación.
Esta sospecha se justificó por la observación de acceso irrestricto a Twitter desde los IP en Irán, donde la plataforma está bloqueada para el acceso general, lo que sugiere la participación del gobierno. Belic, cuando fue contactado por TechCrunch, dijo que su trabajo no estaba patrocinado por el estado de ninguna manera.
Se suspendió cualquier cuenta sospechosa de abusar de la función, y la API misma se ha modificado para evitar cualquier explotación adicional de este tipo. Le pregunté a la compañía cuántas cuentas se suspendieron y actualizaré esta publicación si tengo noticias.
Twitter ha tenido numerosos incidentes donde expuso o filtró datos de usuarios durante el último año. Además de compartir demasiados datos con sus socios publicitarios, la compañía admitió que utilizó números de teléfono utilizados para la autenticación de dos factores para publicar anuncios dirigidos.