El control y la gestión de los
números de teléfono en las redes sociales se han convertido en un tema especialmente peliagudo. Tanto Facebook como Twitter han tenido que dar marcha atrás en sus prácticas de
utilizar dicha información personal con
propósitos publicitarios cuando inicialmente fue proporcionada para reforzar la seguridad de las cuentas, y ahora la firma del pájaro azul ha tenido que hacer frente a un bug que permitía asociar números telefónicos generados al azar con cuentas de usuario. Las implicaciones a nivel de privacidad y seguridad son evidentes.
El fallo, descubierto por un investigador llamado Ibrahim Balic, permitía subir listas de números de teléfono a través de la sección de sincronización de contactos de Twitter para Android (el fallo no parece estar presente en la versión web). Según Balic, la aplicación impide subir listas de números de teléfono generadas secuencialmente (1, 2, 3 y así en lo sucesivo) para evitar precisamente este tipo acciones, pero no había medida alguna que impidiera subir listas generadas y ordenadas aleatoriamente.
Así las cosas, Balic generó al azar y desordenó una lista de 2.000 millones de números de teléfono imaginarios y empezó a subirlos desde la aplicación para Android. El proceso fue arduo, pero al cabo de dos meses logró asociar números de móvil y cuentas de usuario en Israel, Turquía, Irán, Grecia, Armenia, Francia y Alemania. En total, Balic asegura que logró enlazar 17 millones de números y cuentas antes de desistir el pasado 20 de diciembre. Sus hallazgos han podido ser verificados por
TechCrunch, que llegó a contactar con un "veterano político israelí" con uno de esos números generados al azar.
Balic, curiosamente, no alertó directamente a Twitter de su descubrimiento. En lugar de ello decidió actuar directamente, creando un grupo de WhatsApp al que añadió los números de teléfono de varios usuarios "de gran nivel" de Twitter, incluyendo políticos y cargos públicos, para alertarles por privado. Twitter se ha mostrado
menos que entusiasmada con la forma de proceder de Balic, y ha declarado que ha suspendido las cuentas utilizadas para acceder a los números de teléfono mientras investiga el bug.
Fuente: TechCrunch