Twitter denunció que actores malintencionados, con posibles vínculos con grupos patrocinados por el Estado, estaban abusando de una función legítima en su plataforma para desenmascarar la identidad de los usuarios.
El gigante de los medios sociales informó que el 24 de diciembre de 2019 descubrió una gran red de cuentas falsas que abusaban de una función legítima de la API (interfaz de programación de aplicaciones) en su plataforma que, cuando se utiliza según lo previsto, permite a las cuentas encontrar a los usuarios de Twitter que tal vez ya conozcan haciendo coincidir los números de teléfono con los nombres de sus cuentas de Twitter.
Los malos actores estaban utilizando esta función legítima para descubrir a los usuarios de Twitter, lo que despertó la preocupación de que podrían haber obtenido las verdaderas identidades de los activistas de derechos humanos o de los disidentes que utilizan seudónimos en Twitter.
Twitter, que tiene una base de usuarios de más de 68 millones, dijo que las cuentas falsas fueron detectadas en una amplia gama de países. Sin embargo, un volumen particularmente alto de solicitudes provenían de direcciones IP individuales ubicadas en Irán, Israel y Malasia.
“Es posible que algunas de estas direcciones IP tengan vínculos con actores patrocinados por el Estado. Estamos revelando esto por una abundancia de precaución y como una cuestión de principios”, dijo Twitter en una declaración del lunes. “Hemos suspendido inmediatamente estas cuentas y les estamos revelando los detalles de nuestra investigación hoy porque creemos que es importante que estén al tanto de lo que pasó y de cómo lo arreglamos”.
La API sólo coincide con los números de teléfono y los nombres de los usuarios si han activado la opción “Deja que la gente que tiene tu número de teléfono te encuentre en Twitter”. La gente que no tenía esta opción activada no se vio afectada.
Sin embargo, “Después de nuestra investigación, hicimos inmediatamente una serie de cambios en este punto final para que ya no pudiera devolver nombres de cuenta específicos en respuesta a las consultas. Además, suspendimos cualquier cuenta que creamos que haya estado explotando este endpoint”, explicaron fuentes de Twitter.
No es la primera vez que la plataforma de Twitter ha sido blanco de los gobiernos para desenterrar las identidades de los usuarios. En noviembre, el Departamento de Justicia (DoJ) acusó a dos ex empleados de Twitter de trabajar con el gobierno de Arabia Saudita para husmear en las cuentas de los disidentes políticos. Según se informa, otras plataformas, como WhatsApp, también han sido blanco de los actores patrocinados por el Estado para espiar o identificar a los activistas de los derechos humanos.
También es sólo el último asunto de privacidad de Twitter que ha salido a la luz. En diciembre, se instó a los usuarios de Twitter para Android a que actualizaran su aplicación para evitar un error de seguridad que permite a un usuario malicioso acceder a los datos de cuentas privadas y que también podría permitir a un atacante tomar el control de las cuentas para enviar tweets y mensajes directos. La plataforma de medios sociales también advirtió en octubre que la antigua API de Twitter todavía era utilizada por las populares aplicaciones móviles de iOS que podían ser objeto de abuso como parte de un ataque de tipo “hombre en el medio”.
Con información de: Genbeta.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian