O Twitter publicou um comunicado alertando aos usuários sobre um incidente de segurança no qual os atacantes exploraram um recurso da rede social que permitia obter os números de telefone associados a milhões de contas.

O recurso na seção de configurações permitia encontrar um usuário pelo seu número de telefone, desde que o contato tivesse ativado a opção "Permita que as pessoas que têm seu número de celular encontrem você no Twitter". Esta opção vincula a conta do usuário ao seu número de telefone. É importante destacar que o incidente apenas afetou os usuários que contavam com essa opção selecionada.

Imagem 1. O recurso no Twitter permitiu que usuários pudessem ser encontrados através do número de celular.

Embora a funcionalidade seja legítima, o problema é que não imaginavam que um usuário poderia carregar uma grande quantidade de números de telefone gerados aleatoriamente para se aproveitar desse recurso com o intuito de acessar perfis e informações de contato.

O Twitter tomou conhecimento desse erro em 24 de dezembro através de um relatório publicado pelo site TechCrunch, no qual um pesquisador revelou a existência dessa falha que permitiu associar 17 milhões de números de telefone a contas de usuário do Twitter, usando o aplicativo da rede social para Android. Conforme explicado pelo pesquisador na época, ao inserir um número de telefone, a API retorna dados do usuário, embora seja claro que o erro não existe na plataforma web.

Durante a investigação realizada pela rede social, depois de tomar conhecimento do problema, foi possível descobrir a existência de outras contas que exploravam o mesmo erro. De acordo com informações do Twitter ao ZDNet, a rede social encontrou evidências adicionais de que a falha foi explorada por outros usuários que não têm relação com o pesquisador de segurança mencionado no relatório pelo TechCrunch.

Embora muitas das contas identificadas com comportamento dessa natureza estejam localizadas em diferentes países, um grande volume de solicitações veio de endereços IP de países como Irã, Israel e Malásia, portanto, há a possibilidade de que alguns desses endereços IP estejam vinculados a atacantes que têm o apoio de um estado-nação, explicou o Twitter através do comunicado.

A rede social suspendeu imediatamente cada uma das contas falsas identificadas pela exploração da falha. Com o intuito de impedir que os atacantes continuassem explorando o recurso de correspondência de números, o Twitter também realizou uma série de modificações após detectar os ataques.