Twitter reconoce un problema de seguridad, al asociar usuarios con sus números de teléfono

178
twitter

La víspera de Nochebuena, Twitter avisaba de un problema de seguridad y pedía a sus usuarios, cuando estos entraban en su aplicación, que la actualizaran y certificaran de nuevo los datos de sus cuentas. Esa petición se hacía para evitar riesgos, al haberse descubierto un problema de seguridad en la versión de esa app para Android.

Twitter envió notificaciones a las cuentas que podrían resultar expuestas a ese problema de seguridad a través de su app, y también a través del correo electrónico de los usuarios, con las consiguientes instrucciones para mantenerlas protegidas. Una de esas recomendaciones era actualizar la aplicación a la última versión disponible. Esta incidencia sólo se habría producido, según la compañía, en los terminales conectados a Android.

Ahora, Ibrahim Balic, un investigador en cuestiones de ciberseguridad, ha desvelado lo que se escondía detrás de ese fallo reciente de seguridad. La vulnerabilidad, que ha sido reconocida por la  propia compañía, permitía vincular cuentas de Twitter con los números de teléfono de sus usuarios.

Según, Techcrunch, publicación especializada en temas tecnológicos, Balic sostiene que ha sido capaz de emparejar hasta 17 millones de números de teléfono con sus respectivas cuentas de usuario de Twitter mediante la explotación de un defecto en la aplicación de Twitter para Android. Un fallo básico que podría haber sido explotado por numerosos iberdelincuentes.

Balic descubrió que era posible subir listas completas de números de teléfono generados a través de la función de carga de contactos de Twitter. “Si subes tu número de teléfono, obtiene datos de usuario a cambio”. Es decir que si alguien tenía en su posesión un número de teléfono podía usar esta ‘app’ para comprobar quién era el dueño del mismo o, lo que es aún peor, podría emparejar números al azar hasta dar con los de personajes famosos o tan importantes como políticos o artistas.

Sin embargo, la función de carga de contactos de Twitter no acepta listas de números de teléfono en formato secuencial, como una forma de evitar este tipo de coincidencia. En su lugar, Balic generó más de dos mil millones de números de teléfono al azar, uno tras otro, y los cargó a Twitter a través de la aplicación de Android.

Durante dos meses, este investigador hizo coincidir los registros telefónicos con usuarios en Israel, Turquía, Irán, Grecia, Armenia, Francia y Alemania, pero se detuvo después de que Twitter bloqueara su investigación el 20 de diciembre.

A pesar de no haber alertado a Twitter sobre la vulnerabilidad, Balic creó un grupo de Whatsapp con muchos de los números teléfono de usuarios de Twitter de perfil alto, como políticos y funcionarios de alto rango, para advertir directamente a los usuarios. TechCrunch fue capaz de identificar a un político israelí de alto rangusando su número de teléfono coincidente.

Según Twitter, el hallazgo de Balic, que ya descubrió una brecha de seguridad que afectaba a Apple en 2013, no tiene relación con la advertencia de hace unos días en la que la compañía admitía haber sufrido un fallo de seguridad en la app de Android que permitiría a ciberatacantes tener acceso a parte de la información privada o restringida, incluyendo mensajes directos, tweets protegidos y la información de ubicación almacenada.

Un portavoz de Twitter ha señalado a TechCrunch que la compañía está trabajando para “asegurarse de que este error no puede ser explotado de nuevo“. “Al enterarnos de este error, suspendimos las cuentas utilizadas para acceder inapropiadamente a la información personal de las mismas”.

Proteger la privacidad y la seguridad de las personas que usan Twitter es nuestra prioridad número uno y seguimos enfocados en detener rápidamente el spam y el abuso que se originan en el uso de las API de Twitter”, ha asegurado un portavoz de la empresa.