Ошибка Twitter позволила сопоставить 17 миллионов телефонных номеров с данными аккаунтов

Исследователь проблем кибербезопасности Ибрагим Балич сообщил об уязвимости приложения Twitter для ОС Android. Уязвимость была обнаружена им в функции поиска контактов, которая позволяет, загрузив в систему свой номер телефона, получить в ответ номера пользователей, имеющихся в списках контактов. Балич установил, что Android-приложение Twitter допускает загрузку огромного количества номеров. Единственное ограничение состояло в том, что приложение не позволяло последовательно загружать номера, меняя в них одну цифру. Вероятно, таким образом предполагалось защититься от злоупотреблений, но защита оказалась явно недостаточной.

На протяжении двух месяцев Ибрагим Балич сгенерировал порядка 2 миллиардов телефонных номеров и загрузил их через Android-приложение, просто перемешав в произвольном порядке. Полученные в ответ данные он сумел сопоставить с 17 миллионами учетных записей в Twitter. Исследователь смог идентифицировать множество пользователей в таких странах как Армения, Германия, Греция, Израиль, Иран, Турция и Франция. В их числе оказались и крупные политические и государственные деятели. По словам Балича, он не уведомил о проблеме Twitter, поскольку не успел обработать и сопоставить все полученные данные, но создал группу в WhatsApp, куда добавлял идентифицированных им высокопоставленных пользователей, чтобы напрямую предупредить их об опасности. Завершить эксперимент ему не удалось: 20 декабря специалисты Twitter наконец-то обнаружили подозрительную активность и ликвидировали проблему.

Источник: TechCrunch