O pesquisador de segurança Ibrahim Balic explorou uma falha no Twitter que permitia encontrar correspondências entre números de celulares e usuários cadastrados no serviço. Enviando dois bilhões de números de telefone aleatórios, Balic disse ter identificado as linhas de 17 milhões de perfis.
De acordo com o TechCrunch, os números pertenciam a usuários de Israel, Turquia, Irã, Grécia, Armênia, França e Alemanha.
O número de celular pode ser usado no Twitter para recuperar uma conta quando uma senha for esquecida. O cadastro de um número também era obrigatório para receber códigos para a verificação em duas etapas. A exigência foi extinguida em novembro, mas muitos usuários ainda têm o número cadastrado para fins de segurança.
O Twitter não foi informado da vulnerabilidade pelo pesquisador, mas a rede social detectou e bloqueou as tentativas no dia 20 de dezembro, também de acordo com o “TechCrunch”. Balic disse ter explorado o problema por dois meses.
O problema estava localizado em um recurso disponibilizado pelo app do Twitter para celular que permite encontrar pessoas conhecidas a partir do envio da lista de contato. Embora a função bloqueasse o envio de números consecutivos, a quantidade de números enviados era ilimitada.
Como não havia limite, bastava usar o recurso quantas vezes fosse necessário para encontrar as contas que correspondiam a números específicos.
Por meio de nota, o Twitter informou que está investigando o problema para assegurar que a falha não possa ser explorada novamente. A rede social também disse que suspendeu as contas usadas no ataque.
Segunda falha
O Twitter publicou um alerta de segurança no dia 20 de dezembro comunicando sobre outra falha que atingiu usuários do aplicativo para Android. De acordo com a rede social, programas instalados no celular poderiam interferir com o aplicativo do Twitter, o que daria acesso a dados pessoais da vítima, incluindo as mensagens diretas.
No Android e no iOS, não é normal que aplicativos possam sofrer interferência de outros softwares presentes no dispositivo.
Pela descrição dada pelo Twitter sobre a falha, não há razão para crer que o alerta tenha relação com a brecha encontrada por Ibrahim Balic.
O Twitter informou que as vítimas do ataque vão receber um alerta e instruções para que possam proteger suas contas. As orientações devem variar dependendo da versão do Android, mas todos os usuários devem verificar se a versão mais recente do aplicativo já está instalada.