Scoperta ed sgominata da Twitter una rete di account falsi attivi sul social network con l’obiettivo di associare numeri di telefono agli username sfruttando un’API ufficiale della piattaforma. La scoperta alla vigilia di Natale, con l’annuncio dell’operazione di pulizia diramato invece solo nella giornata di oggi.
Il 24 dicembre 2019 ci siamo resi conto che qualcuno, tramite una vasta rete di account falsi, sfruttava la nostra API per abbinare i nomi utente ai numeri di telefono. Abbiamo sospeso immediatamente questi account e oggi rendiamo pubblici i dettagli delle nostre indagini perché riteniamo importante che tu sappia cosa è accaduto e come abbiamo risolto la situazione.
Twitter: account falsi che associavano username e telefono
Il comunicato parla di IP provenienti da Iran, Israele e Malesia, senza escludere la possibilità che l’attività illecita sia stata svolta da soggetti vicini (o controllati) ai governi dei paesi in questione. Il punto debole sfruttato è quello che permette ai nuovi iscritti di farsi trovare mediante la funzione “Consenti agli utenti che hanno il tuo numero di trovarti su Twitter”. La vulnerabilità è stata ora risolta.
Dopo l’indagine abbiamo immediatamente apportato alcune modifiche all’endpoint in modo che non potesse più restituire nomi account specifici in risposta alle query.
L’intervento del social network si conclude con le scuse nei confronti degli utenti che, loro malgrado, sono in qualche modo stati interessati dalla dinamica.
Siamo molto dispiaciuti per l’accaduto. Riconosciamo e apprezziamo la fiducia che riponi in noi e ci impegniamo ogni giorno per meritarla.
Non è dato a sapere quanti siano finiti nella rete degli account fake. Fortunatamente, la funzione è disabilitata di default per tutti gli utenti europei, dunque la portata del problema potrebbe essere contenuta almeno per quanto riguarda il vecchio continente.