twitter-1795652_640.jpg

Hacker explora bug do Twitter para ‘roubar’ telefones de usuários

Da Redação
04/02/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A rede social descobriu e corrigiu o problema, depois de detectar um usuário que utilizava uma grande rede de contas falsas para explorar a API que combina nomes de usuário a números de telefone

twitter-1795652_640.jpg

O Twitter divulgou comunicado revelando que uma pessoa mal-intencionada se aproveitou de um bug na API da plataforma, projetada para facilitar a localização de usuários, para obter seus números de telefone, sem autorização.

A rede social descobriu o problema na véspera do Natal, depois de detectar um usuário que utilizava uma grande rede de contas falsas para explorar a API que combina nomes de usuário a números de telefone. Ela se destina especificamente para novos usuários a encontrar pessoas que eles talvez já conheçam no site — desde que tenham ativado a função “permitir que pessoas com seu número de telefone te encontrem no Twitter” e tenham um número de telefone associado à conta.

O recurso funciona exatamente como pretendido, exceto se alguém carregar milhões de números de telefone gerados aleatoriamente, o que não deveria, e abusar do Twitter para revelar perfis associados às informações de contato que os usuários adicionaram para ativar os recursos de segurança.

Embora a empresa não tenha certeza se o bug foi explorado por apenas um único invasor ou vários grupos, identificou várias contas envolvidas no ataque localizadas em uma ampla variedade de países, principalmente do Irã, Israel e Malásia.

Com base em seus endereços IP, o Twitter acredita que algumas das contas que exploraram a falha da API podem ter vínculos com invasores patrocinados por estados-nação, portanto, está “divulgando este [incidente] por extrema cautela e por uma questão de princípio”. Segundo a rede social, não é necessária nenhuma ação por parte dos usuários.

“Suspendemos imediatamente essas contas e estamos divulgando os detalhes de nossa investigação, porque acreditamos que é importante que o usuário esteja ciente do que aconteceu e como corrigimos”, disse o Twitter em um post no blog da rede social. E acrescentou: “Após nossa investigação, fizemos imediatamente várias alterações nesse endpoint, para que ele não pudesse mais retornar nomes de contas específicos em resposta a consultas. Além disso, suspendemos qualquer conta que acreditamos estar explorando esse endpoint”, finalizou.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest