Se trata de un fallo que permitía hacer un uso abusivo de una funcionalidad legítima de Twitter y que estuvo siendo explotado mediante cuentas falsas.
Twitter publicó un comunicado a través de su blog oficial alertando a la comunidad acerca de un incidente de seguridad en el que atacantes explotaron una funcionalidad de la red social que les permitió obtener los números de teléfono asociados a millones de cuentas.
Se trata de una funcionalidad en la sección configuración que permite encontrar a un usuario a través de su número de teléfono, siempre y cuando el contacto tenga activa en su cuenta la opción “permite que las personas que tienen tu número de teléfono puedan encontrarte en Twitter” que vincula su cuenta con su número de teléfono. Cabe aclarar que aquellas personas que no tengan esta opción seleccionada no se vieron afectadas por este incidente.
Si bien la funcionalidad es legítima, el problema fue que no se suponía que alguien subiría una enorme cantidad de números de teléfonos generados de manera aleatoria para hacer un uso abusivo de esta funcionalidad para llegar a perfiles e información de contacto
Twitter tomó conocimiento de este error el pasado 24 de diciembre a partir de un reporte que publicó el sitio TechCrunch en el que un investigador reveló la existencia de este bug que le permitió asociar 17 millones de números de teléfono a cuentas de usuario de Twitter utilizando la app de Twitter para Android. Según explicó en ese momento el investigador, al ingresar un número de teléfono la API te devuelve datos del usuario, aunque cabe aclarar que el error no existe en la plataforma web.
Durante la investigación que realizó la red social luego de tomar conocimiento del problema descubrió la existencia de otras cuentas explotando el mismo error. Según dijo la red social a ZDNet, encontraron evidencia adicional de que el fallo ha estado siendo explotado por terceros que no tienen relación con el investigador de seguridad que mencionó TechCrunch en su reporte.
Si bien muchas de las cuentas identificadas llevando adelante un comportamiento de esta naturaleza estaban ubicadas en distintos países, un alto volumen de las solicitudes provenía de direcciones IP de países como Irán, Israel y Malasia, por lo que existe la posibilidad de que algunas de estas direcciones IP tengan vinculación con actores que cuentan con el apoyo de un estado-nación, explica Twitter a través del comunicado.
La red social suspendió inmediatamente cada una de las cuentas falsas que identificó explotando este fallo. Asimismo, realizaron una serie de modificaciones luego de detectar los ataques para que no pueda devolver nombres de cuentas específicos para las búsquedas.