Mercado fechado

Twitter suspende contas falsas que exploravam recurso de sincronização

Nathan Vieira

Nesta segunda-feira (3), o Twitter anunciou a identificação e o encerramento de "uma grande rede de contas falsas" que abusavam coletivamente de um recurso que permite sincronizar números de telefone a contas de usuário. Basicamente, um pesquisador de segurança chamado Ibrahim Balic descobriu que um bug no aplicativo Android do Twitter permitia que ele enviasse milhões de números de telefone por meio de uma API oficial.

O recurso tem como objetivo permitir que amigos com seu número consultem seu Twitter, mas enviar milhões de números "vai além do caso de uso pretendido". Se você desativou esse recurso, não foi afetado por esse bug. No entanto, se você tiver um número de telefone associado à sua conta, poderá ter sido afetado. Além disso, os números de telefone incluem os fornecidos para fins de autenticação de dois fatores, então podem estar vulneráveis ​​a essa exploração sem nem perceber.

Depois de ficar sabendo dessa falha, os investigadores identificaram muito mais contas que estavam explorando o bug, embora um representante tenha se recusado a fornecer um número ou estimativa. "Observamos um volume particularmente alto de solicitações provenientes de endereços IP individuais localizados no Irã, Israel e Malásia", escreveu a empresa em um comunicado, publicado na própria rede social em questão.


"É possível que alguns desses endereços IP tenham vínculos com sujeitos patrocinados pelo Estado", continua a postagem. Isso se dá pelo acesso restrito ao Twitter pelos IPs no Irã, onde a plataforma está bloqueada do acesso geral - sugerindo o envolvimento do governo. No entanto, segundo informações do portal TechCrunch, o pesquisador de segurança Ibrahim Belic defendeu que seu trabalho não era patrocinado pelo Estado de forma alguma.

Qualquer conta suspeita de abusar do recurso foi suspensa e a própria API foi modificada para impedir exploração adicional desse tipo. Vale lembrar que o Twitter teve vários incidentes em que expôs dados do usuário no ano passado. Além de compartilhar dados demais com seus parceiros de anúncios, a empresa admitiu que usava números de telefone registrados ​​para autenticação de dois fatores para veicular anúncios direcionados.

Fonte: Canaltech

Trending no Canaltech: