Fallo en el formulario de Twitter puede haber sido explotado

La falla en el formulario de Twitter puede haber sido abusada por los estados nacionales

Fallo en el formulario de Twitter puede haber sido explotado

Publicado: 19 de diciembre de 2018 por 
Última actualización: 18 de diciembre de 2018

Twitter  anunció en una publicación de blog  el lunes que descubrieron y abordaron una falla de seguridad en uno de sus formularios de soporte. El descubrimiento se realizó el 15 de noviembre, hace más de un mes, y se reparó rápidamente al día siguiente. Desde el blog de Twitter sobre este tema:

Nos hemos dado cuenta de un problema relacionado con uno de nuestros formularios de soporte, que es usado por los titulares de las cuentas para contactar a Twitter sobre problemas con su cuenta. Esto podría usarse para descubrir el código de país de los números de teléfono de las personas si tenían uno asociado con su cuenta de Twitter, así como si Twitter había bloqueado o no su cuenta.

Continúan añadiendo:

Es importante destacar que este problema no expone números de teléfono completos ni ningún otro dato personal. Hemos informado directamente a las personas que hemos identificado como afectadas. Le enviamos este aviso más amplio, ya que es posible que otros titulares de cuentas que no podemos identificar se hayan visto afectados.

Códigos de país, llévame a casa

Si bien un código de país no es tratado o considerado por muchos como información confidencial, algunos advierten  que es suficiente para dar una pista a los atacantes sobre si un número de móvil registrado (con código de país) está asociado con una cuenta de Twitter. Esto significa que los ciberdelincuentes podrían encontrar las verdaderas ubicaciones de los países de los usuarios de Twitter. Esto podría ser peligroso para aquellos en países con problemas de privacidad relacionados con la libertad de expresión.

Actualmente, Twitter está investigando la posibilidad de que los actores potenciales del estado nación hayan abusado de la falla, particularmente  de las direcciones IP asociadas con Arabia Saudita y China.

Como si esto no fuera un dolor de cabeza suficiente para el gigante de los medios sociales, Peerzada Fawaz Ahmad Qureshi, un investigador de seguridad independiente que pasa por @Fawaz en Twitter, ha dado un paso adelante  para revelar que había informado de la falla a Twitter a través de HackerOne, un  Plataforma de recompensas de errores , hace más de dos años. Sin embargo, Twitter no realizó ninguna acción, ya que considera que el error no es crítico antes de marcar el informe como “informativo”.

¡Espere! Eso no es todo

Este anuncio llega poco después de un informe de Trend Micro  sobre usuarios malintencionados de Twitter que abusan de la plataforma de redes sociales para comunicarse sigilosamente con malware mediante la  estenografía , el método de ocultar mensajes en imágenes. En este caso, los actores maliciosos tienen comandos ocultos en los memes que se encuentran en todos los rincones de Twitter, ocultos a simple vista en su máxima expresión.

Esta no es la primera vez que se usa Twitter como centro de comunicaciones para el malware. En 2009, se descubrió un kit de botn de bricolaje que llevó a las masas a controlar las infecciones controladas por las redes sociales, permitiendo a los autores de malware con habilidades rudimentarias utilizar Twitter para enviar comandos.

Stock, drop, y roll

Fuera de la acción del bot, la noticia de la investigación de Twitter provocó una caída dramática  en los precios de las acciones de la compañía. Promete ser una montaña rusa que termina en 2018 para aquellos que intentan mantener a Twitter y sus usuarios a salvo.

Si utiliza la plataforma de redes sociales y está preocupado por una posible violación, el consejo de Twitter es simplemente: no hacer nada. Si bien estos contratiempos pueden haber sido llamados directos en lugar de visitas directas, se espera que en 2019, todos seamos un poco más proactivos, y mucho más tranquilos, sobre el uso seguro de nuestros portales y canales de comunicación favoritos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.