No los han hackeado. Ellos dejaron una API REST en desuso con permisos totales de acceso a la información. Cuando Twilio les retiró el servicio, hizo que los registros se quedase totalmente abiertos. Dándole a “olvidé mi contraseña” llevaba directamente a la página de cambio de contraseña. Y con este usuario y manipulando la información en la petición al servidor, se pudieron crear ilimitadas cuentas de administrador, que tiene un acceso total a la plataforma.
Esto se podía haber prevenido haciendo unas APIs de backup.
Por cierto, esta tan mala planeada la app que no tenían plan de backup de absolutamente nada.
