Error de Twitter expuesto millones de números de teléfono de usuario

Un investigador de seguridad pudo utilizar un error en la aplicación Android de Twitter para identificar a millones de usuarios de Twitter, conectando sus números de teléfono con sus ID de Twitter. El exploit podría exponer fallas en el sistema de autenticación de dos factores de la compañía y dar pausa a otros desarrolladores de seguridad.

Según un informe TechCrunch el investigador, Ibrahim Balic creó listas aleatorias de números de teléfono y los envié a Twitter.

"Si carga su número de teléfono, obtiene los datos del usuario a cambio", dijo.

Los datos del usuario le permitieron a Balic encontrar números de teléfono para muchas "celebridades" importantes de Twitter, incluido el número privado de un "israelí de alto rango". político ".

" Al enterarnos de este error, suspendimos las cuentas utilizadas para acceder de manera inapropiada a la información personal de las personas. Proteger la privacidad y la seguridad de las personas que usan Twitter es nuestra prioridad número uno y seguimos enfocados en detener rápidamente el spam y el abuso que se origina en el uso de las API de Twitter ", dijo un portavoz de Twitter.

El error expuso las cuentas de los usuarios cuando Balic cargó millones de números de teléfono y le pidió a Twitter que los relacionara con los usuarios. Por lo general, esta interfaz se usa solo cuando los nuevos usuarios instalan la aplicación en su teléfono, pero, mediante un conjunto de llamadas API, Balic pudo burlar este comportamiento. La violación de la privacidad resultante, que esencialmente conecta los números reales con los identificadores reales de Twitter, podría reducir la eficacia de los esquemas de autenticación de dos factores populares en aplicaciones financieras y billeteras.