26.12.2019 | Баг позволил сопоставить 17 млн номеров телефонов с учетными записями в Twitter |
Исследователь безопасности Ибрагим Балич (Ibrahim Balic) обнаружил уязвимость в приложении Twitter для Android, эксплуатация которой позволила ему сопоставить 17 млн телефонных номеров с учетными записями в Twitter. Эксплуатация осуществляется через функцию загрузки контактов в приложении. При загрузке пользователем своего номера телефона система отправляет пользовательские данные. По словам Балича, функция загрузки контактов в Twitter не разрешает загружать список номеров в последовательном порядке во избежание злоупотребления. Исследователь сгенерировал около двух миллиардов телефонных номеров, рандомизировал их и загрузил в Twitter через Android-приложение (уязвимость не распространяется на web-версию функции загрузки). По словам Балича, он длительное время сопоставлял записи пользователей из Израиля, Турции, Ирана, Греции, Армении, Франции и Германии, но прекратил работу после того, как Twitter заблокировал его попытки 20 декабря. Как сообщил ресурс TechCrunch, сопоставив мобильные номера, в одном случае специалисту удалось идентифицировать высокопоставленного израильского политика. Компания пока официально не признала наличие бага в приложении, и неизвестно, связано ли недавнее исправление уязвимости в Android-версии Twitter с данной проблемой. |
Проверить безопасность сайта