Twitter ha dichiarato un incidente di sicurezza durante il quale terze parti hanno sfruttato l’API ufficiale (Application Programming Interface) dell’azienda per abbinare i numeri di telefono ai nomi utente di Twitter.
“Il 24 dicembre”, scrive Twitter sul blog, “ci siamo resi conto che qualcuno, tramite una vasta rete di account falsi, sfruttava la nostra Api per abbinare i nomi utente ai numeri di telefono. Gli account dediti a queste attività erano dislocati in molti Paesi, ma abbiamo rilevato un volume particolarmente elevato di richieste provenienti da singoli indirizzi Ip situati in Iran, Israele e Malesia”.
Secondo Twitter, gli aggressori hanno sfruttato un endpoint API legittimo che consente ai nuovi titolari di account di trovare persone che conoscono su Twitter. L’endpoint API consente agli utenti di inviare numeri di telefono e li abbina a account Twitter noti.
Twitter afferma che gli attacchi non hanno influenzato tutti gli utenti, ma solo quelli che hanno abilitato un’opzione nella loro sezione delle impostazioni per consentire la corrispondenza basata sul numero di telefono.
“Le persone che non avevano questa impostazione abilitata o che non avevano un numero di telefono associato al proprio account non erano esposte da questa vulnerabilità”, ha detto Twitter.
Il social network ha dichiarato di aver immediatamente apportato alcune modifiche a questo endpoint dopo aver rilevato l’attacco “in modo che non potesse più restituire nomi di account specifici in risposta alle query”.
Ha inoltre sospeso tutti gli account che paiono aver abusato dello strumento. Tuttavia, pare che il gruppo non stia inviando notifiche agli utenti i cui numeri di telefono sarebbero stati accessibili durante l’attacco.