Nesta segunda-feira (3), o Twitter anunciou a identificação e o encerramento de “uma grande rede de contas falsas” que abusavam coletivamente de um recurso que permite sincronizar números de telefone a contas de usuário. Basicamente, um pesquisador de segurança chamado Ibrahim Balic descobriu que um bug no aplicativo Android do Twitter permitia que ele enviasse milhões de números de telefone por meio de uma API oficial.
O recurso tem como objetivo permitir que amigos com seu número consultem seu Twitter, mas enviar milhões de números “vai além do caso de uso pretendido”. Se você desativou esse recurso, não foi afetado por esse bug. No entanto, se você tiver um número de telefone associado à sua conta, poderá ter sido afetado. Além disso, os números de telefone incluem os fornecidos para fins de autenticação de dois fatores, então podem estar vulneráveis a essa exploração sem nem perceber.
Depois de ficar sabendo dessa falha, os investigadores identificaram muito mais contas que estavam explorando o bug, embora um representante tenha se recusado a fornecer um número ou estimativa. “Observamos um volume particularmente alto de solicitações provenientes de endereços IP individuais localizados no Irã, Israel e Malásia”, escreveu a empresa em um comunicado, publicado na própria rede social em questão.
–
Feedly: assine nosso feed RSS e não perca nenhum conteúdo do Canaltech em seu agregador de notícias favorito.
–
We recently discovered an issue that allowed bad actors to match a specific phone number with the corresponding accounts on Twitter. We quickly corrected this issue and are sorry this happened. You can learn more about our investigation here: https://t.co/Z6Q4geQ8jo
— Twitter Support (@TwitterSupport) February 3, 2020
- Nova função do Twitter permitirá escolher quem pode ou não responder seus tweets
- Twitter lança quase mil tópicos para você seguir em novo recurso do Feed
“É possível que alguns desses endereços IP tenham vínculos com sujeitos patrocinados pelo Estado”, continua a postagem. Isso se dá pelo acesso restrito ao Twitter pelos IPs no Irã, onde a plataforma está bloqueada do acesso geral – sugerindo o envolvimento do governo. No entanto, segundo informações do portal TechCrunch, o pesquisador de segurança Ibrahim Belic defendeu que seu trabalho não era patrocinado pelo Estado de forma alguma.
Qualquer conta suspeita de abusar do recurso foi suspensa e a própria API foi modificada para impedir exploração adicional desse tipo. Vale lembrar que o Twitter teve vários incidentes em que expôs dados do usuário no ano passado. Além de compartilhar dados demais com seus parceiros de anúncios, a empresa admitiu que usava números de telefone registrados para autenticação de dois fatores para veicular anúncios direcionados.
Trending no Canaltech:
- Google Maps “trollado”? Homem trava rua com a ajuda de 99 celulares
- Sim, de novo: Windows 10 apresenta problemas em novo patch
- Pré-venda do PlayStation 5 começará em março, aponta rumor
- Você tem dislexia? A tecnologia pode facilitar sua vida!
- Seis celulares de até R$ 2 mil que valem o investimento
Fonte: Canaltech