Il 24 dicembre 2019 ci siamo resi conto che qualcuno, tramite una vasta rete di account falsi, sfruttava la nostra API per abbinare i nomi utente ai numeri di telefono. Abbiamo sospeso immediatamente questi account e oggi rendiamo pubblici i dettagli delle nostre indagini perché riteniamo importante che tu sappia cosa è accaduto e come abbiamo risolto la situazione. 

Nel corso dell'indagine abbiamo scoperto altri account che, a nostro avviso, potrebbero aver sfruttato lo stesso endpoint API per usi diversi da quelli a cui è destinato. Gli account dediti a queste attività erano dislocati in molti Paesi diversi, ma abbiamo rilevato un volume particolarmente elevato di richieste provenienti da singoli indirizzi IP situati in Iran, Israele e Malesia. È possibile che alcuni di questi indirizzi IP possano avere legami con soggetti appoggiati dallo stato. Rendiamo pubbliche queste informazioni per precauzione e per una questione di principio.

Se usato come previsto, l'endpoint aiuta chi crea un nuovo account a trovare persone che potrebbe già conoscere su Twitter. L'endpoint abbina il numero di telefono all'account Twitter di chi ha abilitato l'opzione "Consenti agli utenti che hanno il tuo numero di trovarti su Twitter" e ha associato un numero di telefono al proprio account Twitter. Se un utente non ha abilitato questa impostazione o non ha associato un numero di telefono al proprio account, la vulnerabilità non ha comportato alcuna esposizione. 

Dopo l'indagine abbiamo immediatamente apportato alcune modifiche all'endpoint in modo che non potesse più restituire nomi account specifici in risposta alle query. Abbiamo inoltre sospeso tutti gli account che riteniamo abbiano sfruttato l'endpoint.  

Proteggere la privacy e la sicurezza di chi usa Twitter è la nostra priorità e continuiamo a lavorare per interrompere il più rapidamente possibile qualsiasi uso illecito dell'API di Twitter. Per sapere di più sul nostro impegno per proteggere Twitter da manipolazioni della piattaforma e dalle attività appoggiate dallo stato, consulta il rapporto sulla trasparenza di Twitter.

Siamo molto dispiaciuti per l'accaduto. Riconosciamo e apprezziamo la fiducia che riponi in noi e ci impegniamo ogni giorno per meritarla. Per qualsiasi domanda, puoi contattare il nostro Ufficio per la protezione dei dati tramite questo modulo.