Nesta segunda (3), Twitter revelou que descobriu e suspendeu diversas contas que abusam do recurso de correspondência de números de telefone a nomes de usuários. O anúncio feito pelo própria plataforma sobre o problema de privacidade confirmou também a falha denunciada pelo pesquisador de segurança Ibrahim Balic, em dezembro de 2019.

Balic descobriu que o aplicativo do Twitter para sistemas Android tinha uma vulnerabilidade que permitia combinar 17 milhões de números de telefone com suas respectivas contas. Ainda que a plataforma permita procurar contatos usando seus números de telefone, o Twitter disse que combinar uma quantidade enorme de números com contas vai “além do caso de uso pretendido (do recurso)”.

A empresa diz que, depois de suspender o primeiro conjunto de contas falsas que exploravam a falha – o que provavelmente inclui a de Balic, que criou centenas de contas “marionete” para aprofundar sua investigação -, descobriu além. Essas contas adicionais foram localizadas em vários países, mas a maioria do Irã, Malásia e Israel, com base nos endereços de IP rastreados pelo Twitter.

“É possível que alguns desses endereços IP tenham vínculos com atores patrocinados pelo Estado”, diz o anúncio da empresa. “Estamos divulgando isso com muita cautela e por uma questão de princípio”.

Embora a falha permitisse que os maus atores procurassem milhões de números de telefones de pessoas dos quais não conhecessem, os usuários que não possuem a configuração “Permitir que pessoas com seu número de telefone te encontrem no Twitter” ativada não foram afetados. Além disso, o Twitter suspendeu todas as contas incorretas que encontrou durante a investigação e modificou sua API para impedir que pessoas mal intencionadas explorem o recurso de correspondência de números novamente.

Via: Engadget