O endereço de e-mail ou número de telefone que você forneceu na sua conta no Twitter para fins de segurança (por exemplo, autenticação de dois fatores), podem ter sido inadvertidamente usados para fins de publicidade, alertou a rede social.

A empresa declarou em um post no seu blog oficial que encerrou “uma grande rede de contas falsas” responsável por enviar listas de números de telefone e depois usar a própria API do Twitter para combiná-los com nomes de usuário individuais.

Segundo a Electronic Frontier Foundation (EFF), este é precisamente o tipo de atividade usada para criar ferramentas de pesquisa inversa: que associa usuários específicos ou suas contas a números de telefone que até então eram aleatórios.

“Não podemos dizer com certeza quantas pessoas foram impactadas por isso, mas, em um esforço para ser transparente, queríamos conscientizar todos. Nenhum dado pessoal jamais foi compartilhado externamente com nossos parceiros ou terceiros”, afirmou o comunicado do Twitter.

Diversas redes sociais oferecem a opção de carregar sua lista de contatos no aplicativo para facilitar sua busca por contatos conhecidos. As APIs usadas para oferecer esse suporte geralmente contêm limitações para impedir que os terceiros explorem a ferramenta. No caso do Twitter, uma das limitações em vigor rejeita qualquer pessoa que tente fazer upload de uma lista de números de telefone sequenciais – uma indicação clara de que não é um usuário que está fazendo o upload de seus contatos.

Mas pesquisadores de segurança que informaram encontraram uma solução alternativa e simples: randomize as informações carregadas para evitar sequências de números e pronto! Isso permitiu que eles correspondessem números de telefone a nomes de usuário para mais de 17 milhões de pessoas no Twitter, incluindo celebridades.

Até o momento, o problema parece afetar apenas as contas do Twitter que têm um número de telefone associado à sua conta e têm estão com a configuração de “Permita que as pessoas que têm seu número de celular encontrem você no Twitter” ativada.

Segundo o Twitter, acredita-se que a exploração da API tenha se originado em endereços IP no Irã, Israel e Malásia. “É possível que alguns desses endereços tenham vínculos agentes estatais”, escreveu um porta-voz da empresa.

Via: The Next Web