17 millones de números de teléfono filtrados por el bug de Twitter
El fallo de seguridad que la red social ya está arreglado, pero ha sido posible extraer información de millones de usuarios.
Justo antes de Navidad, Twitter descubría un nuevo problema de seguridad en su versión para Android que permitía que los atacantes pudieran acceder a información personal de las cuentas de otros usuarios e incluso hacerse con el control de las mismas. La red social parcheó la vulnerabilidad y recomendó a los usuarios actualizar la aplicación a la última versión para evitar los riesgos. Pero, ¿qué datos se filtraron desde que sucedió el problema hasta que fue arreglado?
Hacerse con el control de tu cuenta de Twitter
Twitter explicaba en su blog que a través de un proceso complicado que “involucra la inserción de código malicioso en áreas de almacenamiento restringidas de la aplicación de Twitter, una persona malintencionada podría haber tenido acceso a información [privada] de la aplicación” como por ejemplo Mensajes Directos, Tweets protegidos o información de ubicación.
A su vez, la red social aducía que “no tenemos evidencia de que se haya insertado código malicioso en la aplicación o de que se haya explotado esta vulnerabilidad", pero por otra parte "no podemos estar completamente seguros” de que no haya pasado nada".
17 millones de números de teléfono filtrados
El pasado 20 de diciembre el error fue subsanado con un parche de seguridad. Pero el investigador de ciberseguridad Ibrahim Balic aprovechó la vulnerabilidad para ver cuántos datos se podían haber filtrado, y fue capaz de extraer 17 millones de números de teléfono de usuarios asociados a cuentas de la plataforma. Balic descubrió a través del uso de este fallo de seguridad que la función de contactos de Twitter permitía subir listas de números de teléfono y que de esta forma era posible obtener información de los usuarios.
El experto asegura haber sido capaz de relacionar los 17 millones de números de teléfono con sus respectivas cuentas de Twitter, después de haber aleatorizado más de dos mil millones de números de teléfono y subirlos a la app de Android de la plataforma. Los números de teléfono dejaron de estar accesibles desde el 20 de diciembre, cuando Twitter parcheó el error de su aplicación, y no fueron de un sólo país, sino de contactos de todo el mundo como Francia, Grecia, Israel, Turquía, Irán, Alemania y Armenia.