JUE, 26 / DIC / 2019

Un defecto en la aplicación de Twitter para Android permitía identificar cuentas y números de teléfono

El problema ya ha sido reconocido y corregido por la empresa. Fue descubierto por un investigador que logró establecer millones de relaciones.

La aplicación para Android de Twitter tenía un defecto de seguridad que le permitió a un investigador descubrir las cuentas asociadas a más de 17 millones de números de teléfono. El truco utilizado no funciona con la versión web del servicio.

Twitter funciona de una manera sencilla, si cargas un número de teléfono el sistema busca los datos del usuario asociado a este número.

Ibrahim Balic descubrió que era posible cargar la aplicación con listas de números de teléfonos generados, es decir producidos por un sistema automatizado. De esta manera se obtiene una herramienta de identificación masiva.

La opción de carga de la aplicación no permite ingresar listas con números de teléfono en secuencia, lo que implicaría que los desarrolladores habían previsto que alguien podría intentar utilizar la aplicación para estas tareas de identificación.

Balic pudo evitar esta restricción generando más de 2 millones de números y luego cambiando el orden de los mismos al azar.

Respuesta de Twitter

Luego de 2 meses de trabajo Balic logró asociar cuentas y números de teléfono de Francia, Alemania,Israel, Turquía y Grecia.

Twitter reaccionó a esta técnica el 20 de Diciembre, corrigiendo el defecto que Balic estaba investigando.

La compañía señaló: “Al darnos cuenta de este error suspendimos las cuentas utilizadas para obtener información personal de forma inapropiada. Proteger la privacidad y la seguridad de la gente que usa Twitter es nuestra prioridad número uno y seguimos enfocados en detener rápidamente el spam y el mal uso de la API de Twitter”.

Balic no advirtió a la compañía del error, pero en cambio aviso a varios usuarios de alto perfil a través de un grupo de WhatsApp.

¡Comparte esta noticia!