Twitter reveló hoy un incidente de seguridad en el que terceros explotaron la API oficial de la compañía para hacer que coincidan los números de teléfono con nombres de usuario de la red social.
La compañía informó a ZDNet que se percataron de los intentos de explotación contra la función de API el 24 de diciembre de 2019, luego de un informe del sitio de noticias TechCrunch.
Dicho informe detalla los esfuerzos de un investigador de seguridad que abusó de una función de API de Twitter para unir 17 millones de números de teléfono con nombres de usuario públicos.
Twitter asegura que después del informe, intervino e inmediatamente suspendió una gran red de cuentas falsas que se habían utilizado para consultar su API y hacer coincidir los números telefónicos con los nombres de usuario.
Twitter no aclaró quienes fueron las personas que realizaron los ataques, pero dijo que algunas de las direcciones IP utilizadas en esos intentos de explotación de API tenían vínculos con actores patrocinados por el estado, un término utilizado para describir agencias de inteligencia del gobierno o piratería de terceros grupos que se benefician del respaldo de un gobierno.
Mientras tanto, la compañía dijo que está divulgando hoy los hallazgos de su investigación «por precaución y por principio».
Según Twitter, los atacantes explotaron un punto final de API legítimo que permite a los nuevos titulares de cuentas encontrar personas que conocen en Twitter. El punto final API permite a los usuarios enviar números de teléfono y los compara con cuentas de Twitter conocidas.
La red social afirma que los ataques no afectaron a todos los usuarios de Twitter, sino solo a aquellos que habilitaron una opción en su sección de configuración para permitir la coincidencia basada en números de teléfono.
«Las personas que no tenían esta configuración habilitada o que no tienen un número de teléfono asociado con su cuenta no estuvieron expuestas a esta vulnerabilidad», dijo Twitter.
También mencionó que inmediatamente realizó una serie de cambios en este punto final luego de detectar el ataque «para que ya no pudiera devolver nombres de cuenta específicos en respuesta a consultas».
