Come le impostazioni predefinite di Twitter possono perdere il tuo numero di telefono

Come le impostazioni predefinite di Twitter possono perdere il tuo numero di telefono

Twitter ha divulgato pubblicamente un “incidente” di sicurezza che indica problemi di vecchia data relativi al modo in cui il servizio gestisce i numeri di telefono. Twitter ha annunciato di aver scoperto e chiuso “una grande rete di account falsi” che stavano caricando un gran numero di numeri di telefono e utilizzando strumenti nell'API di Twitter per abbinarli ai singoli nomi utente. Questo tipo di attività può essere utilizzato per creare uno strumento di ricerca inversa, per trovare il numero di telefono associato a un determinato nome utente.

Si scopre che almeno una di quelle persone che hanno caricato enormi elenchi di numeri di telefono era un ricercatore di sicurezza, i cui risultati TechCrunch ha riferito a dicembre .

I problemi con gli strumenti che consentono agli utenti di trovare account utilizzando i numeri di telefono ad essi associati non sono nuovi su Twitter (o su Facebook , per quella materia). E, dato il modo in cui queste funzionalità sono progettate, è probabile che il loro potenziale di abuso non scompaia presto.

Il modo migliore per proteggere i propri utenti da Twitter è ridurre al minimo il numero di account con numeri di telefono collegati e chiarire agli utenti quando e come tali numeri potrebbero essere esposti. Ecco perché Twitter deve smettere di fare pressione sugli utenti per aggiungere i loro numeri di telefono ai loro profili e smettere di renderli rilevabili per impostazione predefinita.

Come funziona

Quando non conosci un servizio o scarichi per la prima volta un'app, potresti visualizzare un messaggio per caricare i tuoi contatti per trovare persone che già conosci sull'app. Twitter offre uno di quegli strumenti di caricamento dei contatti.

Il problema è che, se Twitter vuole connetterti con i tuoi amici tramite i loro numeri di telefono, deve offrire un'API per supportarlo. Mentre quel tipo di API può e dovrebbe presentare delle limitazioni per impedire a qualcuno di rivelare in modo pericoloso identità e informazioni di contatto delle persone, ci sarà quasi sempre un modo per aggirarlo. Nel caso di Twitter, una delle limitazioni in atto era quella di rifiutare chiunque avesse tentato di caricare un lungo elenco di numeri di telefono sequenziali, segno che quasi sicuramente questa persona non stava caricando una rubrica nel tentativo di trovare amici.

La soluzione è quasi comicamente semplice: qualcuno potrebbe semplicemente caricare un lungo elenco di numeri di telefono randomizzati . Ed è così che il ricercatore di sicurezza il cui lavoro ha spinto Twitter a questo problema è stato in grado di abbinare numeri di telefono e nomi utente non solo per le persone nei suoi contatti, ma per 17 milioni di utenti ignari di Twitter, compresi funzionari di alto profilo e politici di tutto il mondo .

Chi colpisce

Questo strumento può abbinare i numeri di telefono solo agli account Twitter per coloro che 1) hanno attivato Rilevazione dei numeri di telefono ” nelle loro impostazioni e 2) hanno un numero di telefono associato al proprio account. Se nessuno di questi è vero per te, il tuo account non è stato esposto da questo problema. Per una guida dettagliata alla verifica delle impostazioni, visita il nostro tutorial qui .

Vaghe promesse

Questa non è l'unica volta in cui Twitter ha recentemente incasinato la sua gestione e protezione dei numeri di telefono degli utenti: proprio lo scorso ottobre Twitter ha sfruttato i numeri di autenticazione a due fattori degli utenti per la pubblicità mirata .

Ma, come adesso, i piani di Twitter per risolvere i problemi che hanno rivelato le informazioni degli utenti in primo luogo sono preoccupantimente vaghi. L'annuncio di Twitter ha affermato che la società ha apportato un “numero di modifiche a questo [strumento di caricamento dei contatti] in modo che non potesse più restituire nomi di account specifici in risposta alle query”.

Ma quali sono esattamente questi cambiamenti e come funzioneranno? Dopo aver fallito la fiducia del pubblico, Twitter deve ai suoi utenti una maggiore trasparenza in modo che possano giudicare da soli se le correzioni sono state adeguate.

(Articolo originale: EFF)

Commenta su Facebook

Babel Fish

Con l'ausilio di un Pesce di Babele, Babel Fish traduce in italiano articoli da noti blog intergalattici e - giammai soddisfatto - traduce dall'italiano al Vogon e poi di nuovo dal Vogon all'italiano articoli da noti blog italiani. I risultati delle lavoro di Babel Fish sono pubblicati su questo blog.