Os usuários do Twitter estavam vulneráveis ao vazamento do número de celular registrado no perfil. As informações foram publicadas pelo site TechCrunch após o pesquisador de segurança digital Turco, Ibrahim Balic, denunciar a falha na plataforma.
A brecha de segurança foi encontrada a partir de uma função do aplicativo da rede social para Android usada para encontrar pessoas conhecidas a partir de um número de celular.
Como medida de segurança, não era possível enviar uma lista com vários telefones de uma só vez. Ibrahim, porém, conseguiu fazer uma combinação de 2 bilhões de números e testar um a um para descobrir 17 milhões de contatos de usuários.
Segundo a reportagem, Ibrahim explorou a falha por dois meses e conseguiu obter mais de 2 milhões de contatos de usuários em Israel, Turquia, Irã, Grécia, Armênia, França e Alemanha. A ação foi identificada e bloqueada em 20 de dezembro.
“Ao saber desse bug, suspendemos as contas usadas para acessar inadequadamente as informações pessoais das pessoas. Proteger a privacidade e a segurança das pessoas que usam o Twitter é a nossa prioridade número um e continuamos focados em interromper rapidamente spam e abusos originados pelo uso das APIs do Twitter “, disse o porta-voz do Twitter ao TechCrunch.
Durante a investigação realizada pela rede social, depois de tomar conhecimento do problema, foi possível descobrir a existência de outras contas que exploravam o mesmo erro. De acordo com informações do Twitter ao ZDNet, a rede social encontrou evidências adicionais de que a falha foi explorada por outros usuários que não têm relação com o pesquisador de segurança mencionado no relatório pelo TechCrunch.
Embora muitas das contas identificadas com comportamento dessa natureza estejam localizadas em diferentes países, um grande volume de solicitações veio de endereços IP de países como Irã, Israel e Malásia, portanto, há a possibilidade de que alguns desses endereços IP estejam vinculados a atacantes que têm o apoio de um estado-nação, explicou o Twitter através do comunicado.
A rede social suspendeu imediatamente cada uma das contas falsas identificadas pela exploração da falha. Com o intuito de impedir que os atacantes continuassem explorando o recurso de correspondência de números, o Twitter também realizou uma série de modificações após detectar os ataques.
Saiba mais sobre isso em nosso setor de segurança digital.
