Hackers usaron la API de Twitter para unir nombres de usuario con números de telefóno - Masterhacks Blog

Hackers usaron la API de Twitter para unir nombres de usuario con números de telefóno

Twitter reveló hoy un incidente de seguridad en el que terceros explotaron la API oficial de la compañía para hacer que coincidan los números de teléfono con nombres de usuario de la red social.

La compañía informó a ZDNet que se percataron de los intentos de explotación contra la función de API el 24 de diciembre de 2019, luego de un informe del sitio de noticias TechCrunch.

Dicho informe detalla los esfuerzos de un investigador de seguridad que abusó de una función de API de Twitter para unir 17 millones de números de teléfono con nombres de usuario públicos.

Twitter asegura que después del informe, intervino e inmediatamente suspendió una gran red de cuentas falsas que se habían utilizado para consultar su API y hacer coincidir los números telefónicos con los nombres de usuario.

Twitter no aclaró quienes fueron las personas que realizaron los ataques, pero dijo que algunas de las direcciones IP utilizadas en esos intentos de explotación de API tenían vínculos con actores patrocinados por el estado, un término utilizado para describir agencias de inteligencia del gobierno o piratería de terceros grupos que se benefician del respaldo de un gobierno.

Mientras tanto, la compañía dijo que está divulgando hoy los hallazgos de su investigación «por precaución y por principio».

Según Twitter, los atacantes explotaron un punto final de API legítimo que permite a los nuevos titulares de cuentas encontrar personas que conocen en Twitter. El punto final API permite a los usuarios enviar números de teléfono y los compara con cuentas de Twitter conocidas.

La red social afirma que los ataques no afectaron a todos los usuarios de Twitter, sino solo a aquellos que habilitaron una opción en su sección de configuración para permitir la coincidencia basada en números de teléfono.

«Las personas que no tenían esta configuración habilitada o que no tienen un número de teléfono asociado con su cuenta no estuvieron expuestas a esta vulnerabilidad», dijo Twitter.

También mencionó que inmediatamente realizó una serie de cambios en este punto final luego de detectar el ataque «para que ya no pudiera devolver nombres de cuenta específicos en respuesta a consultas».

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *