Twitter emitió hoy una advertencia que revela que los atacantes abusaron de una funcionalidad legítima en su plataforma para determinar sin autorización los números de teléfono asociados con millones de cuentas de sus usuarios.
Según Twitter, la vulnerabilidad residía en una de las API que se ha diseñado para facilitar a los usuarios encontrar personas que ya pueden conocer en Twitter al hacer coincidir los números de teléfono guardados en sus contactos con las cuentas de Twitter.
Cabe señalar que la función funcionó exactamente como se esperaba, excepto que se suponía que alguien debía cargar millones de números de teléfono generados aleatoriamente y abusar de Twitter para revelar perfiles asociados con la información de contacto que los usuarios agregaron a Twitter para habilitar funciones de seguridad.
Aunque la compañía no está segura de si el error fue explotado por un solo adversario o múltiples grupos, ha identificado varias cuentas involucradas en el ataque ubicadas en una amplia gama de países, principalmente de Irán, Israel y Malasia.
Con base en sus direcciones IP, Twitter cree que algunas de las cuentas que explotaron la falla de la API pueden tener vínculos con actores patrocinados por el estado; por lo tanto, está “revelando este [incidente] por precaución y por principio”.
“Suspendimos de inmediato estas cuentas y hoy les revelamos los detalles de nuestra investigación porque creemos que es importante que sepa lo que sucedió y cómo lo solucionamos”, dijo Twitter en una publicación de blog.
La compañía se dio cuenta del problema el 24 de diciembre del año pasado después de que un investigador de seguridad ‘poco ético’ explotó un vacío similar, o el mismo, en Twitter para unir con éxito casi 17 millones de números de teléfono a sus perfiles.
Twitter dice que desde entonces el sitio de redes sociales ha abordado el problema y no se requiere ninguna acción por parte de los usuarios.
“Después de nuestra investigación, de inmediato realizamos una serie de cambios en este punto final para que ya no pudiera devolver nombres de cuenta específicos en respuesta a consultas”, dijo Twitter.
Sin embargo, si no lo sabe, también puede evitar que cualquiera encuentre su perfil en función de su dirección de correo electrónico o número de teléfono navegando a la configuración de ‘ Descubrimiento ‘ en su cuenta de Twitter y desactívela.