Bug do Twitter expôs milhões de números de telefone de usuários

Um pesquisador de segurança conseguiu usar um bug no aplicativo Twitter para Android para identificar milhões de usuários do Twitter, conectando seus números de telefone aos seus IDs do Twitter. A exploração pode expor falhas no sistema de autenticação de dois fatores da empresa e fazer outros desenvolvedores de segurança hesitarem.

De acordo com umTechCrunchrelatório, o pesquisador,Ibrahim Balic, criou listas aleatórias de números de telefone e as enviou para o Twitter.

“Se você enviar seu número de telefone, ele buscará dados do usuário em troca”, disse ele.

Os dados do usuário permitiram que Balic encontrasse números de telefone de muitas das principais "celebridades" do Twitter, incluindo o número privado de um "alto político israelense".

“Ao saber desse bug, suspendemos as contas usadas para acessar inapropriadamente as informações pessoais das pessoas. Proteger a Política de Privacidade e a segurança das pessoas que usam o Twitter é nossa prioridade número um e continuamos focados em interromper rapidamente o spam e o abuso originados do uso das APIs do Twitter”, disse um porta-voz do Twitter.

O bug expôs contas de usuários quando Balic carregou milhões de números de telefone e pediu ao Twitter para combiná-los com os usuários. Normalmente, essa interface é usada apenas quando novos usuários instalam o aplicativo em seus telefones, mas, usando um conjunto de chamadas de API, Balic conseguiu falsificar esse comportamento. A violação de Política de Privacidade resultante - essencialmente conectando números reais a identificadores reais do Twitter - pode reduzir a eficácia de esquemas de autenticação de dois fatores populares em aplicativos financeiros e carteiras.

Imagem via Shutterstock.