Noticias

Se usó un error de la aplicación de Twitter para unir 17 millones de números de teléfono a cuentas de usuario

Un investigador de seguridad comparó 17 millones de números de teléfono con cuentas de usuarios de Twitter al explotar un fallo en la función de carga de contactos en la aplicación de Android de Twitter.

Ibrahim Balic descubrió que era posible cargar listas enteras de números de teléfono generados a través de la función de carga de contactos de Twitter. “Si carga su número de teléfono, obtiene los datos del usuario a cambio”, dijo a TechCrunch.

Dijo que la función de carga de contactos de Twitter no acepta listas de números de teléfono en formato secuencial, probablemente como una forma de evitar este tipo de coincidencia. En cambio, generó más de dos mil millones de números de teléfono, uno tras otro, luego aleatorizó los números y los subió a Twitter a través de la aplicación de Android. Balic dijo que el error no existía en la función de carga basada en la web.

Durante un período de dos meses, Balic dijo que comparó los registros de usuarios en Israel, Turquía, Irán, Grecia, Armenia, Francia y Alemania, dijo, pero se detuvo después de que Twitter bloqueara su intento del 20 de diciembre.

Balic le proporcionó a TechCrunch una muestra de los números de teléfono que hizo coincidir. Utilizando la función de restablecimiento de contraseña del sitio, una vez verificados sus hallazgos comparando una selección aleatoria de nombres de usuario con los números de teléfono proporcionados. En un caso, TechCrunch pudo identificar a un político israelí de alto rango utilizando su número de teléfono coincidente.

Si bien no alertó a Twitter sobre la vulnerabilidad, llevó muchos de los números de teléfono de usuarios de Twitter de alto perfil, incluidos políticos y funcionarios, a un grupo de WhatsApp en un esfuerzo por advertir a los usuarios directamente.

No se cree que los esfuerzos de Balic estén relacionados con una publicación del blog de Twitter publicada esta semana, que confirmó que un error podría haber permitido que “alguien vea información de una cuenta no pública o controle su cuenta”, como tweets, mensajes directos e información de ubicación.

Twitter no ha hecho aun declaraciones al respecto de este tema.

Es el último lapso de seguridad que involucra datos de Twitter en el último año. En Mayo, Twitter admitió que proporcionó datos de ubicación de la cuenta a uno de sus socios, incluso si el usuario había optado por no compartir sus datos. En Agosto, la compañía dijo que sin darse cuenta dio a sus socios publicitarios más datos de los que debería haber dado. Y el mes pasado, Twitter confirmó que utilizó números de teléfono proporcionados por los usuarios para la autenticación de dos factores para servir anuncios dirigidos.

Balic es conocido por identificar un fallo de seguridad que afectó al centro de desarrolladores de Apple en 2013.

Categorías:Noticias

Tagged as: , ,

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s