Twitter ha anunciado que se ha estado defendiendo de una serie de ataques de cibercriminales que están intentando explotar su API para vincular las cuentas de los usuarios con sus números de teléfono, en un intento de invadir la privacidad de los usuarios y sacarlos del anonimato. La compañía cree que es posible que formen parte de ataques gubernamentales.
La vulnerabilidad se encuentra en una característica que permite a sus usuarios subir sus listas de contactos para encontrar a sus amigos en la red social. El problema está en que no limita la cantidad de solicitudes que recibe.
La vulnerabilidad puede poner información muy valiosa en manos peligrosas: en primer lugar, se logra quitar las cuentas del anonimato al vincular el nombre de usuario al número de teléfono, lo que expone su privacidad de formas potencialmente peligrosas. Pero también permite detectar cuáles son los números de personalidades públicas que podrían tener más valor y usarse en ataques de intercambios de SIM para obtener acceso a cuentas que son validadas por SMS o autentificaciones de dos factores.
La compañía dijo que había descubirto la falla el 24 de diciembre, el mismo día que el investigador de seguridad Ibrahim Balic publicó un informe que describía cómo había logrado vincular 17 millones de números de teléfono a sus cuentas de Twitter correspondientes. Balic había logrado la hazaña subiendo dos mil millones de números de teléfono generados de forma automática a la herramienta de Twitter para subir contactos.
Balic no había informado a Twitter de forma directa sobre el problema antes de publicarlo, aunque sí se había puesto en contacto con los usuarios más reconocidos para alertarles sobre la situación. Como consecuencia, Balic fue expulsado de Twitter. A pesar de las similitudes entre la vulnerabilidad investigada por Balic y la mencionada por Twitter, la compañía no lo mencionó en su comunicado.
En cuanto a los responsables, Twitter no apuntó a nadie de forma directa ni ofreció evidencias comprometedoras, pero tiene sospechas de que algún estado podría estar involucrado. “Hemos identificado cuentas en varios países con este comportamiento, pero hay una cantidad particularmente alta de solicitudes que provienen de direcciones IP individuales en Irán, Israel y Malasia. Es posible que algunas de estas IP estén vinculadas a ciberatacantes vinculados con algún gobierno”, dijo Twitter en su comunicado oficial.
Twitter incluso ofreció un enlace a su Informe de transparencia para los usuarios que quieran saber con mayor profundidad cómo lidia con los ciberataques gubernamentales. También habilitó un formulario para las preguntas y ofreció disculpas a sus usuarios. “Lamentamos mucho que esto haya ocurrido. Reconocemos y apreciamos la confianza que nos tienen, y nos comprometemos a ganarla cada día”, dijo la compañía.
Fuentes
Twitter says a certain someone tried to discover the phone numbers used by potentially millions of twits • The Register
An Incident Impacting your Account Identity • Twitter
Twitter cites ‘Iran & Israel state actors’ after suspending researcher who exposed new user-data flaw • Russian Times
Twitter sospecha que un gobierno está detrás de una serie de ataques a la privacidad de sus usuarios