O Twitter corrigiu um problema que estava sendo explorado por invasores para corresponder números de telefone específicos às contas. Entenda!
O Twitter ainda é uma das redes mais usadas em todo mundo. Toda essa fama também atrai hackers, e consequentemente, ataques. Por conta disso, eles trabalham arduamente para combater qualquer ameaça.
E infelizmente, volta e meia surgem novas ameaças que tetam se aproveitar da popularidade dessa rede, como estava acontecendo recentemente.
Twitter corrigiu um problema que estava sendo explorado por invasores
O Twitter diz que descobriu e corrigiu um problema explorado pelos invasores para corresponder números de telefone específicos às contas correspondentes do Twitter.
O Twitter explicou que:
“Em 24 de dezembro de 2019, percebemos que alguém estava usando uma grande rede de contas falsas para explorar nossa API e associar nomes de usuários a números de telefone.”
“Suspendemos imediatamente essas contas e estamos divulgando os detalhes de nossa investigação para você hoje, porque acreditamos que é importante que você esteja ciente do que aconteceu e como a corrigimos.”
Durante a investigação a seguir, a equipe de segurança da empresa encontrou contas adicionais que poderiam ter explorado o mesmo terminal vulnerável da API para obter acesso aos números de telefone das contas.
“É possível que alguns desses endereços IP tenham vínculos com atores patrocinados pelo estado. Estamos divulgando isso com muita cautela e por uma questão de princípio.”
Embora as contas maliciosas estejam localizadas em países de todo o mundo, um grande número de solicitações à API afetada vinha de endereços IP no Irã, Israel e Malásia.
Segundo o Twitter, o ponto de extremidade da API que foi abusado nesse ataque normalmente permitiria que as pessoas que criaram novas contas encontrassem seus amigos no Twitter.
Isso funciona consultando quais usuários têm um número de telefone associado às suas contas e também ativou a opção ‘Permitir que as pessoas com seu número de telefone o encontrem no Twitter’ nas configurações.
Aqueles que não tinham essa configuração ativada em suas contas ou não tinham um número de telefone associado não foram expostos a ataques que exploravam esta vulnerabilidade da API do Twitter.
“Após nossa investigação, fizemos imediatamente várias alterações nesse terminal, para que ele não pudesse mais retornar nomes de contas específicos em resposta a consultas. Além disso, suspendemos qualquer conta que acreditamos estar explorando esse endpoint.”
Depois de descobrir o problema e os ataques que o abusaram, o Twitter suspendeu todas as contas envolvidas e corrigiu a falha de segurança que afetava o endpoint da API.
E o Twitter afirmou que:
“Proteger a privacidade e a segurança das pessoas que usam o Twitter é nossa prioridade número um e continuamos focados em interromper o abuso da API do Twitter o mais rápido possível”
“Lamentamos muito o ocorrido. Reconhecemos e apreciamos a confiança que você deposita em nós e estamos comprometidos em conquistá-la todos os dias.”
Em 2018, o Twitter corrigiu um erro que afetava a caixa de diálogo de permissões ao autorizar determinados aplicativos que deixavam mensagens diretas expostas a terceiros sem que o usuário soubesse.
O Twitter também anunciou em junho de 2019 que um problema no aplicativo Android expunha os tweets protegidos de alguns usuários por mais de 4 anos se algumas alterações fossem feitas nas configurações de suas contas.
Em notícias relacionadas, há uma semana, a equipe do OurMine ressurgiu e começou a assumir o controle de contas de mídia social de alto perfil em uma onda de hackers que ainda continua, com o eBay perdendo o controle de sua conta do Twitter recentemente.
- Como instalar o jogo Trax Puzzle no Linux via Snap
- Como instalar o clássico jogo Tanks no Ubuntu, Debian e derivados
- Como instalar o divertido jogo Mari0 no Linux via Snap
- Como instalar o jogo OpenTTD no Linux via Flatpak
O que está sendo falado no blog
- Fedora 40 lançado com GNOME 46, kernel 6.8, e muito mais
- Como atualizar para o Ubuntu 24.04 LTS via terminal (server e desktop)
