Ошибка Twitter раскрыла миллионы телефонных номеров пользователей

Исследователь безопасности смог использовать ошибку в приложении Twitter для Android, чтобы идентифицировать миллионы пользователей Twitter, связав их номера телефонов с их идентификаторами Twitter. Эксплойт может выявить сбои в двухфакторной системе аутентификации компании и заставить других разработчиков безопасности задуматься.

По словамTechCrunchотчет, исследователь,Ибрагим Балич, создали случайные списки телефонных номеров и отправили их в Twitter.

«Если вы загружаете свой номер телефона, в ответ он получает данные пользователя», — сказал он.

Данные пользователей позволили Баличу найти номера телефонов многих крупных «знаменитостей» Twitter, включая личный номер «высокопоставленного израильского политика».

«Узнав об этой ошибке, мы заблокировали учетные записи, используемые для несанкционированного доступа к личной информации людей. Защита Политика конфиденциальности и безопасности людей, которые используют Twitter, является нашим ONE приоритетом, и мы по-прежнему сосредоточены на быстром прекращении спама и злоупотреблений, возникающих при использовании API Twitter», — заявил представитель Twitter.

Ошибка раскрыла учетные записи пользователей, когда Balic загрузил миллионы телефонных номеров и попросил Twitter сопоставить их с пользователями. Обычно этот интерфейс используется только тогда, когда новые пользователи устанавливают приложение на свой телефон, но, используя набор вызовов API, Balic смог подделать это поведение. Полученное нарушение Политика конфиденциальности — по сути, подключение реальных номеров к реальным идентификаторам Twitter — может снизить эффективность двухфакторных схем аутентификации, популярных в финансовых приложениях и кошельках.

Изображение предоставлено Shutterstock.