El control y la gestión de los números de teléfono en las redes sociales se han convertido en un tema especialmente peliagudo. Tanto Facebook como Twitter han tenido que dar marcha atrás en sus prácticas de utilizar dicha información personal con propósitos publicitarios cuando inicialmente fue proporcionada para reforzar la seguridad de las cuentas, y ahora la firma del pájaro azul ha tenido que hacer frente a un bug que permitía asociar números telefónicos generados al azar con cuentas de usuario. Las implicaciones a nivel de privacidad y seguridad son evidentes.
El fallo, descubierto por un investigador llamado Ibrahim Balic, permitía subir listas de números de teléfono a través de la sección de sincronización de contactos de Twitter para Android (el fallo no parece estar presente en la versión web). Según Balic, la aplicación impide subir listas de números de teléfono generadas secuencialmente (1, 2, 3 y así en lo sucesivo) para evitar precisamente este tipo acciones, pero no había medida alguna que impidiera subir listas generadas y ordenadas aleatoriamente.
Así las cosas, Balic generó al azar y desordenó una lista de 2.000 millones de números de teléfono imaginarios y empezó a subirlos desde la aplicación para Android. El proceso fue arduo, pero al cabo de dos meses logró asociar números de móvil y cuentas de usuario en Israel, Turquía, Irán, Grecia, Armenia, Francia y Alemania. En total, Balic asegura que logró enlazar 17 millones de números y cuentas antes de desistir el pasado 20 de diciembre. Sus hallazgos han podido ser verificados por TechCrunch, que llegó a contactar con un "veterano político israelí" con uno de esos números generados al azar.
Balic, curiosamente, no alertó directamente a Twitter de su descubrimiento. En lugar de ello decidió actuar directamente, creando un grupo de WhatsApp al que añadió los números de teléfono de varios usuarios "de gran nivel" de Twitter, incluyendo políticos y cargos públicos, para alertarles por privado. Twitter se ha mostrado menos que entusiasmada con la forma de proceder de Balic, y ha declarado que ha suspendido las cuentas utilizadas para acceder a los números de teléfono mientras investiga el bug.
El fallo, descubierto por un investigador llamado Ibrahim Balic, permitía subir listas de números de teléfono a través de la sección de sincronización de contactos de Twitter para Android (el fallo no parece estar presente en la versión web). Según Balic, la aplicación impide subir listas de números de teléfono generadas secuencialmente (1, 2, 3 y así en lo sucesivo) para evitar precisamente este tipo acciones, pero no había medida alguna que impidiera subir listas generadas y ordenadas aleatoriamente.
Así las cosas, Balic generó al azar y desordenó una lista de 2.000 millones de números de teléfono imaginarios y empezó a subirlos desde la aplicación para Android. El proceso fue arduo, pero al cabo de dos meses logró asociar números de móvil y cuentas de usuario en Israel, Turquía, Irán, Grecia, Armenia, Francia y Alemania. En total, Balic asegura que logró enlazar 17 millones de números y cuentas antes de desistir el pasado 20 de diciembre. Sus hallazgos han podido ser verificados por TechCrunch, que llegó a contactar con un "veterano político israelí" con uno de esos números generados al azar.
Balic, curiosamente, no alertó directamente a Twitter de su descubrimiento. En lugar de ello decidió actuar directamente, creando un grupo de WhatsApp al que añadió los números de teléfono de varios usuarios "de gran nivel" de Twitter, incluyendo políticos y cargos públicos, para alertarles por privado. Twitter se ha mostrado menos que entusiasmada con la forma de proceder de Balic, y ha declarado que ha suspendido las cuentas utilizadas para acceder a los números de teléfono mientras investiga el bug.
Un saludo
FELICES FIESTAS
Debería caérsele el pelo a Twitter por semejante chapuza, igual que ya debería haber desaparecido Facebook tras los innumerables jaleos en los que se ha metido. Pero no: multita y a seguir.
Por mi parte, prescindo de cualquier servicio que pudiera interesarme y que requiera número de teléfono para ser usado, pero el día en el que incluso para postear en un foro ésto se convierta en indispensable, Mohamed y Hasan se van a hacer de oro vendiendo tarjetas usadas a gente como yo (y éso si no se estandariza antes la chapuza del eSIM, que miedo me da).
(imagen)
Voy a tener que puntualizar algo ahí: fue subiéndolo por partes a lo largo de varios días. Voy a pensar que usó algún script (mejor si fusilo eso de "manualmente"), aunque técnicamente estaba alimentando al exploit/bug con listas, así que no es que metiera los 17 millones del cholón XD