Falha no Twitter expôs número de celular cadastrado nos perfis, alerta pesquisador thumbnail
Economia

Falha no Twitter expôs número de celular cadastrado nos perfis, alerta pesquisador

Rede social também corrigiu falha no aplicativo para Android. Número de telefone era exigido para recursos de segurança na rede social.
REUTERS/Kacper Pempel
O pesquisador de segurança Ibrahim Balic explorou uma falha no Twitter que permitia encontrar correspondências entre números de celulares e usuários cadastrados no serviço. Enviando dois bilhões de números de telefone aleatórios, Balic disse ter identificado as linhas de 17 milhões de perfis.
De acordo com o TechCrunch, os números pertenciam a usuários de Israel, Turquia, Irã, Grécia, Armênia, França e Alemanha.
O número de celular pode ser usado no Twitter para recuperar uma conta quando uma senha for esquecida. O cadastro de um número também era obrigatório para receber códigos para a verificação em duas etapas. A exigência foi extinguida em novembro, mas muitos usuários ainda têm o número cadastrado para fins de segurança.
O Twitter não foi informado da vulnerabilidade pelo pesquisador, mas a rede social detectou e bloqueou as tentativas no dia 20 de dezembro, também de acordo com o “TechCrunch”. Balic disse ter explorado o problema por dois meses.
O problema estava localizado em um recurso disponibilizado pelo app do Twitter para celular que permite encontrar pessoas conhecidas a partir do envio da lista de contato. Embora a função bloqueasse o envio de números consecutivos, a quantidade de números enviados era ilimitada.
Como não havia limite, bastava usar o recurso quantas vezes fosse necessário para encontrar as contas que correspondiam a números específicos.
Por meio de nota, o Twitter informou que está investigando o problema para assegurar que a falha não possa ser explorada novamente. A rede social também disse que suspendeu as contas usadas no ataque.
Segunda falha
O Twitter publicou um alerta de segurança no dia 20 de dezembro comunicando sobre outra falha que atingiu usuários do aplicativo para Android. De acordo com a rede social, programas instalados no celular poderiam interferir com o aplicativo do Twitter, o que daria acesso a dados pessoais da vítima, incluindo as mensagens diretas.
No Android e no iOS, não é normal que aplicativos possam sofrer interferência de outros softwares presentes no dispositivo.
Pela descrição dada pelo Twitter sobre a falha, não há razão para crer que o alerta tenha relação com a brecha encontrada por Ibrahim Balic.
O Twitter informou que as vítimas do ataque vão receber um alerta e instruções para que possam proteger suas contas. As orientações devem variar dependendo da versão do Android, mas todos os usuários devem verificar se a versão mais recente do aplicativo já está instalada.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

Tópicos