La API de búsqueda de Twitter se ha aprovechado para identificar a los usuarios con números de teléfono.

Twitter es una de las mejores plataformas para compartir tu mensaje. Del mismo modo, es una de las pocas plataformas que están siendo atacadas activamente por los atacantes para obtener el control o los detalles de las cuentas de las celebridades. Recientemente, Twitter revelado que una de sus API relacionadas con la búsqueda ha sido explotada por algunos ataques que se cree que están patrocinados por los estados.

Vulnerable solo si está habilitado

La API de búsqueda de Twitter se ha aprovechado para identificar a los usuarios con números de teléfono.

La API sobre la que informó Twitter se trata de encontrar cuentas específicas utilizando sus números de teléfono o direcciones de correo electrónico mediante una simple búsqueda. Esto es posible para aquellos que han habilitado Permita que las personas que tienen su número de teléfono lo encuentren en Twitter opción en la configuración. Además, las personas que tienen sus números de teléfono asociados con Twitter también pueden ser vulnerables. Esto puede llevar a los atacantes a asociar cuentas con los números de teléfono de varios sospechosos, revelando así sus identidades.

Pero Twitter respondió a eso de inmediato y lo corrigió. Dicho,

“Durante nuestra investigación, descubrimos cuentas adicionales que creemos que están explotando ese mismo punto final de API además del caso de uso previsto. Si bien hemos identificado cuentas ubicadas en una amplia variedad de países que adoptan estos comportamientos, hemos visto un volumen particularmente alto de solicitudes provenientes de direcciones IP individuales ubicadas en Irán, Israel y Malasia. Es posible que algunas de estas direcciones IP tengan enlaces a actores patrocinados por el estado. »

Dado que Twitter es una plataforma popular para que las personas serias alcen la voz, los activistas de derechos y los manifestantes crean cuentas con seudónimos para interrogar a los funcionarios. Para lo cual, los gobiernos y otras organizaciones intentan encontrar a estos disidentes exigiendo a Twitter que revele o explote tales API vulnerables.

Dado que la represión es todo lo que querían, Twitter estuvo anteriormente en las noticias sobre dos de sus ex empleados acusados ​​de relacionarse con el gobierno de Arabia Saudita y espiar a los disidentes políticos. Además, la popular aplicación de mensajería WhatsApp también ha sido explotada por estos atacantes patrocinados por el estado para rastrear a los activistas recientemente.