Un fallo en la API de Twitter ha permitido a hackers recopilar millones de teléfonos y cuentas de usuario

Twitter ha publicado una declaración exponiendo un incidente de seguridad en el que terceros desarrolladores han explotado su API oficial para hacerse con números de teléfono y nombres de usuario de la red social.

Entrando en detalles, Twitter ha confesado a ZDNet que se percataron de los intentos de explotación de la API el 24 de diciembre de 2019, después de que se publicara un informe en TechCrunch. Dicho informe detallaba los esfuerzos de un investigador de seguridad que abusó de la API de Twitter para hacerse mediante coincidencia con 17 millones de números de teléfonos pertenecientes a usuarios públicos de la red social.

La compañía ha explicado que nada más conocer el informe decidió tomar cartas en el asunto y suspender de forma inmediata una gran parte de las cuentas falsas que habrían sido utilizadas para consultar su API y hacer coincidir los números de teléfono con los nombres de usuario. Durante la investigación descubrió que el error de la API había sido explotado de forma activa, o sea, por terceros que no eran el investigador y que muy probablemente sean actores maliciosos.

Aplicación de Twitter en el móvil

Sobre esos posibles actores maliciosos, tras realizar un seguimiento de las direcciones IP utilizadas, se sospecha que podrían ser hackers que trabajan para algún estado, ya que sus orígenes se han situado en Irán, Israel y Malasia. Twitter ha dicho que ha publicado los resultados de sus hallazgos “por precaución y por principio.”

Entrando en detalles sobre el fallo de seguridad, Twitter ha explicado que los atacantes explotaron un endpoint legítimo de la API que permite a los nuevos titulares de cuentas encontrar a personas que podrían conocer a través de la red social. El endpoint de la API permite enviar números de teléfono y los compara con las cuentas existentes, permitiendo así averiguar el nombre de usuario.

Sin embargo, el fallo de seguridad no afecta a todos los usuarios, sino solo a aquellos que tienen activada la opción que permite encontrar la cuenta de usuario a través del número de teléfono. Los usuarios de Twitter que tengan dicha opción desactivada/inhabilitada no pueden ser encontrados a través del mecanismo mencionado en el párrafo anterior, y obviamente los que no hayan suministrado su número de teléfono para cosas como la autenticación en dos pasos tampoco pueden verse afectados.

Twitter ya ha introducido las modificaciones pertinentes en el endpoint para que deje de mostrar nombres de cuentas específicas como respuesta a las consultas con el número de teléfono.

La entrada Un fallo en la API de Twitter ha permitido a hackers recopilar millones de teléfonos y cuentas de usuario es original de MuyComputer