Twitter dice que un atacante usó su API para unir nombres de usuario con números de teléfono


twitter.jpg

Característica especial

La ciberguerra y el futuro de la ciberseguridad

Las amenazas a la seguridad de hoy se han ampliado en alcance y seriedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.

Lee mas

En una declaración publicada hoy, Twitter reveló un incidente de seguridad durante el cual terceros explotaron al funcionario de la compañía API (Interfaz de programación de aplicaciones) para unir los números de teléfono con los nombres de usuario de Twitter.

En un correo electrónico que buscaba aclaraciones sobre el incidente, Twitter le dijo a ZDNet que se dieron cuenta de los intentos de explotación contra esta función de API el 24 de diciembre de 2019, después de un informe del sitio de noticias de tecnología TechCrunch. El informe detalla los esfuerzos de un investigador de seguridad que abusó de una función de API de Twitter para unir 17 millones de números de teléfono con nombres de usuario públicos.

Twitter dice que intervino e inmediatamente suspendió una gran red de cuentas falsas que habían sido abusadas en estos ataques. Durante sus investigaciones, la pink social le dijo a ZDNet que descubrió evidencia adicional de que este mistake de API también había sido explotado por terceros más allá del investigador de seguridad en el corazón del informe TechCrunch.

Twitter dijo que si bien identificaron cuentas falsas utilizadas en los ataques ubicados en una amplia gama de países, la mayor parte de los ataques provino de «direcciones IP individuales ubicadas dentro de Irán, Israel y Malasia».

Twitter dijo que algunas de estas direcciones IP tenían vínculos con actores patrocinados por el estado, un término utilizado para describir agencias de inteligencia del gobierno o grupos de piratería de terceros que se benefician del respaldo de un gobierno.

El mistake de la API de Twitter que se abusó en el ataque

Según Twitter, los atacantes explotaron un punto final de API legítimo que permite a los nuevos titulares de cuentas encontrar personas que conocen en Twitter. El punto remaining API permite a los usuarios enviar números de teléfono y los compara con cuentas de Twitter conocidas.

Twitter dice que los ataques no afectaron a todos los usuarios de Twitter, sino solo a aquellos que habilitaron una opción en su sección de configuración para permitir la coincidencia basada en números de teléfono.

«Las personas que no tenían esta configuración habilitada o que no tienen un número de teléfono asociado con su cuenta no estuvieron expuestas a esta vulnerabilidad», dijo Twitter.

La crimson social dijo que inmediatamente realizó una serie de cambios en este punto ultimate después de detectar el ataque «para que ya no pudiera devolver nombres de cuenta específicos en respuesta a consultas».

twitter-discoverability.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/02/03/78eac4e1-f5af-41fc-8027-a132bf45ff1b/twitter-discoverability.png

El artículo fue reescrito y actualizado a las 6:00 p.m. ET, según la información adicional proporcionada por un portavoz de Twitter.





Enlace a la noticia unique