Помилка Twitter розкрила мільйони телефонних номерів користувачів

Дослідник безпеки зміг використати помилку в додатку Twitter для Android, щоб ідентифікувати мільйони користувачів Twitter, зв’язавши їхні номери телефонів з ідентифікаторами Twitter. Експлойт може виявити збої в системі двофакторної автентифікації компанії та змусити інших розробників безпеки зупинитися.

За словами а TechCrunch звіт, дослідник, Ібрагім Баліч, створив рандомізовані списки телефонних номерів і надіслав їх у Twitter.

«Якщо ви завантажуєте свій номер телефону, у відповідь він отримує дані користувача», — сказав він.

Дані користувачів дозволили Балічу знайти телефонні номери багатьох відомих «знаменитостей» Twitter, включаючи особистий номер «високопоставленого ізраїльського політика».

"Дізнавшись про цю помилку, ми призупинили дію облікових записів, які використовувалися для неналежного доступу до особистої інформації людей. Захист Політика конфіденційності та безпеки людей, які користуються Twitter, є нашим пріоритетом номер ONE , і ми продовжуємо зосереджуватися на швидкому припиненні спаму та зловживань, що виникають через використання API Twitter", - сказав представник Twitter.

Помилка виявила облікові записи користувачів, коли Баліч завантажив мільйони телефонних номерів і попросив Twitter зіставити їх із користувачами. Зазвичай цей інтерфейс використовується лише тоді, коли нові користувачі встановлюють програму на свій телефон, але за допомогою набору викликів API Balic зміг підробити цю поведінку. Порушення Політика конфіденційності , що випливає з цього, — фактично зв’язування реальних чисел із реальними дескрипторами Twitter — може знизити ефективність схем двофакторної автентифікації, популярних у фінансових програмах і гаманцях.

Зображення через Shutterstock.