A rede social descobriu e corrigiu o problema, depois de detectar um usuário que utilizava uma grande rede de contas falsas para explorar a API que combina nomes de usuário a números de telefone
O Twitter divulgou comunicado revelando que uma pessoa mal-intencionada se aproveitou de um bug na API da plataforma, projetada para facilitar a localização de usuários, para obter seus números de telefone, sem autorização.
A rede social descobriu o problema na véspera do Natal, depois de detectar um usuário que utilizava uma grande rede de contas falsas para explorar a API que combina nomes de usuário a números de telefone. Ela se destina especificamente para novos usuários a encontrar pessoas que eles talvez já conheçam no site — desde que tenham ativado a função “permitir que pessoas com seu número de telefone te encontrem no Twitter” e tenham um número de telefone associado à conta.
O recurso funciona exatamente como pretendido, exceto se alguém carregar milhões de números de telefone gerados aleatoriamente, o que não deveria, e abusar do Twitter para revelar perfis associados às informações de contato que os usuários adicionaram para ativar os recursos de segurança.
Embora a empresa não tenha certeza se o bug foi explorado por apenas um único invasor ou vários grupos, identificou várias contas envolvidas no ataque localizadas em uma ampla variedade de países, principalmente do Irã, Israel e Malásia.
Com base em seus endereços IP, o Twitter acredita que algumas das contas que exploraram a falha da API podem ter vínculos com invasores patrocinados por estados-nação, portanto, está “divulgando este [incidente] por extrema cautela e por uma questão de princípio”. Segundo a rede social, não é necessária nenhuma ação por parte dos usuários.
“Suspendemos imediatamente essas contas e estamos divulgando os detalhes de nossa investigação, porque acreditamos que é importante que o usuário esteja ciente do que aconteceu e como corrigimos”, disse o Twitter em um post no blog da rede social. E acrescentou: “Após nossa investigação, fizemos imediatamente várias alterações nesse endpoint, para que ele não pudesse mais retornar nomes de contas específicos em resposta a consultas. Além disso, suspendemos qualquer conta que acreditamos estar explorando esse endpoint”, finalizou.
