Falha no Twitter expôs número de celular cadastrado

Publicada em 29/12/2019 às 09h49.

Rede social também corrigiu falha no aplicativo para Android.

Imagem: Reprodução do Google

O pesquisador de segurança Ibrahim Balic explorou uma falha no Twitter que permitia encontrar correspondências entre números de celulares e usuários cadastrados no serviço. Enviando dois bilhões de números de telefone aleatórios, Balic disse ter identificado as linhas de 17 milhões de perfis.

De acordo com o TechCrunch, os números pertenciam a usuários de Israel, Turquia, Irã, Grécia, Armênia, França e Alemanha.

O número de celular pode ser usado no Twitter para recuperar uma conta quando uma senha for esquecida. O cadastro de um número também era obrigatório para receber códigos para a verificação em duas etapas. A exigência foi extinguida em novembro, mas muitos usuários ainda têm o número cadastrado para fins de segurança.

O Twitter não foi informado da vulnerabilidade pelo pesquisador, mas a rede social detectou e bloqueou as tentativas no dia 20 de dezembro, também de acordo com o "TechCrunch". Balic disse ter explorado o problema por dois meses.

O problema estava localizado em um recurso disponibilizado pelo app do Twitter para celular que permite encontrar pessoas conhecidas a partir do envio da lista de contato. Embora a função bloqueasse o envio de números consecutivos, a quantidade de números enviados era ilimitada.

Como não havia limite, bastava usar o recurso quantas vezes fosse necessário para encontrar as contas que correspondiam a números específicos.

"Por meio de nota, o Twitter informou que está investigando o problema para assegurar que a falha não possa ser explorada novamente. A rede social também disse que suspendeu as contas usadas no ataque."

Segunda falha

O Twitter publicou um alerta de segurança no dia 20 de dezembro comunicando sobre outra falha que atingiu usuários do aplicativo para Android. De acordo com a rede social, programas instalados no celular poderiam interferir com o aplicativo do Twitter, o que daria acesso a dados pessoais da vítima, incluindo as mensagens diretas.

No Android e no iOS, não é normal que aplicativos possam sofrer interferência de outros softwares presentes no dispositivo. Pela descrição dada pelo Twitter sobre a falha, não há razão para crer que o alerta tenha relação com a brecha encontrada por Ibrahim Balic.

O Twitter informou que as vítimas do ataque vão receber um alerta e instruções para que possam proteger suas contas. As orientações devem variar dependendo da versão do Android, mas todos os usuários devem verificar se a versão mais recente do aplicativo já está instalada.

FONTE: G1

Os comentários abaixo não representam a opinião do Portal Nova Mais. A responsabilidade é do autor da mensagem.

TODOS OS COMENTÁRIOS (0)