Twitter afferma che gli aggressori sostenuti dallo stato potrebbero avere numeri di telefono catturati

Twitter ha rivelato maggiori dettagli su un incidente di sicurezza che ha permesso agli aggressori di scoprire numeri di telefono collegati a numerosi account sulla sua piattaforma.

Il processo ha comportato lo sfruttamento di una funzione che, utilizzata nel modo previsto, consente alle nuove iscrizioni di trovare amici che sono già su Twitter inserendo il loro numero di telefono. La funzione funziona per coloro che hanno attivato l'opzione "Consenti alle persone che hanno il tuo numero di telefono di trovarti su Twitter" e che hanno un numero di telefono associato al loro account Twitter.

La società ha dichiarato che durante una recente indagine, ha scoperto e successivamente chiuso una vasta rete di account falsi che potrebbero aver tentato di abbinare un numero enorme di numeri di telefono generati agli account Twitter.

Ha detto di aver capito che qualcosa non andava quando ha osservato "un volume particolarmente elevato" di tentativi provenienti da singoli indirizzi IP situati all'interno di Iran, Israele e Malesia, aggiungendo: "È possibile che alcuni di questi indirizzi IP possano avere legami con lo stato- attori sponsorizzati. ”Parlando con Reuters, un portavoce di Twitter ha affermato che il suo team ha espresso particolari preoccupazioni sull'Iran poiché gli aggressori sembrano aver avuto accesso illimitato alla piattaforma dei social media nonostante sia stato bandito nel paese.

Twitter ha dichiarato di aver apportato modifiche al suo sistema per prevenire attacchi simili in futuro e di chiudere gli account che riteneva stessero tentando di sfruttare il difetto.

sfondo

Il problema è stato esposto per la prima volta a dicembre 2019 dal ricercatore di sicurezza con sede a Londra Ibrahim Balic. Sembra che sia stata la scoperta di Balic a indurre le indagini di Twitter, che ha portato ai sospetti attaccanti sostenuti dallo stato. Balic ha dimostrato di essere stato in grado di abbinare 17 milioni di numeri di telefono agli account Twitter caricando più di due miliardi di numeri casuali sul servizio. L'esercizio gli ha permesso di scoprire i numeri di telefono di vari utenti Twitter di alto profilo, tra cui politici e funzionari.

L'incidente è l'ultimo di una serie di contrattempi di sicurezza per colpire Twitter. Alla fine dell'anno scorso, ad esempio, la società ha rivelato di aver corretto una vulnerabilità nella sua app Android che avrebbe potuto consentire agli attori malintenzionati di visualizzare le informazioni sugli account privati e assumere profili, e persino di inviare messaggi e tweet diretti per conto dell'account di destinazione. Un altro errore ha visto la piattaforma rivelare i tweet degli account protetti.

L'annuncio dei dettagli degli incidenti di sicurezza fa parte degli sforzi recentemente lanciati da Twitter per essere più trasparenti con la sua comunità di circa 330 milioni di persone in tutto il mondo.