Twitter anunció en una publicación de blog el lunes que descubrieron y abordaron una falla de seguridad en uno de sus formularios de soporte. El descubrimiento se realizó el 15 de noviembre, hace más de un mes, y se reparó rápidamente al día siguiente. Desde el blog de Twitter sobre este tema:
Nos hemos dado cuenta de un problema relacionado con uno de nuestros formularios de soporte, que es usado por los titulares de las cuentas para contactar a Twitter sobre problemas con su cuenta. Esto podría usarse para descubrir el código de país de los números de teléfono de las personas si tenían uno asociado con su cuenta de Twitter, así como si Twitter había bloqueado o no su cuenta.
Continúan añadiendo:
Es importante destacar que este problema no expone números de teléfono completos ni ningún otro dato personal. Hemos informado directamente a las personas que hemos identificado como afectadas. Le enviamos este aviso más amplio, ya que es posible que otros titulares de cuentas que no podemos identificar se hayan visto afectados.
Códigos de país, llévame a casa
Si bien un código de país no es tratado o considerado por muchos como información confidencial, algunos advierten que es suficiente para dar una pista a los atacantes sobre si un número de móvil registrado (con código de país) está asociado con una cuenta de Twitter. Esto significa que los ciberdelincuentes podrían encontrar las verdaderas ubicaciones de los países de los usuarios de Twitter. Esto podría ser peligroso para aquellos en países con problemas de privacidad relacionados con la libertad de expresión.
Actualmente, Twitter está investigando la posibilidad de que los actores potenciales del estado nación hayan abusado de la falla, particularmente de las direcciones IP asociadas con Arabia Saudita y China.
Como si esto no fuera un dolor de cabeza suficiente para el gigante de los medios sociales, Peerzada Fawaz Ahmad Qureshi, un investigador de seguridad independiente que pasa por @Fawaz en Twitter, ha dado un paso adelante para revelar que había informado de la falla a Twitter a través de HackerOne, un Plataforma de recompensas de errores , hace más de dos años. Sin embargo, Twitter no realizó ninguna acción, ya que considera que el error no es crítico antes de marcar el informe como «informativo».
¡Espere! Eso no es todo
Este anuncio llega poco después de un informe de Trend Micro sobre usuarios malintencionados de Twitter que abusan de la plataforma de redes sociales para comunicarse sigilosamente con malware mediante la estenografía , el método de ocultar mensajes en imágenes. En este caso, los actores maliciosos tienen comandos ocultos en los memes que se encuentran en todos los rincones de Twitter, ocultos a simple vista en su máxima expresión.
Esta no es la primera vez que se usa Twitter como centro de comunicaciones para el malware. En 2009, se descubrió un kit de botn de bricolaje que llevó a las masas a controlar las infecciones controladas por las redes sociales, permitiendo a los autores de malware con habilidades rudimentarias utilizar Twitter para enviar comandos.
Stock, drop, y roll
Fuera de la acción del bot, la noticia de la investigación de Twitter provocó una caída dramática en los precios de las acciones de la compañía. Promete ser una montaña rusa que termina en 2018 para aquellos que intentan mantener a Twitter y sus usuarios a salvo.
Si utiliza la plataforma de redes sociales y está preocupado por una posible violación, el consejo de Twitter es simplemente: no hacer nada. Si bien estos contratiempos pueden haber sido llamados directos en lugar de visitas directas, se espera que en 2019, todos seamos un poco más proactivos, y mucho más tranquilos, sobre el uso seguro de nuestros portales y canales de comunicación favoritos.
Sobre el autor