DOBERMANN
Гай Ричи
MrLoot
Frank Vinci
atmservice
probiv

СМИ Злоумышленники использовали API Twitter для сопоставления телефонов и имен пользователей

Филин

На страже качества
Заблокирован
Продавец

Филин

На страже качества
Заблокирован
Продавец
Статус
Offline
Регистрация
29 Сен 2019
Сообщения
578
Реакции
62
Покупки через Гарант
0
Продажи через Гарант
1
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Компания Twitter сообщила о неприятном инциденте: третьи стороны злоупотребили ее официальным API, чтобы сопоставить телефонные номера пользователей с их именами в Twitter.
Специалистам компании стало известно о злоупотреблениях 24 декабря 2019 года. Интересно, что инженеры Twitter узнали о происходящем только после публикации издания TechCrunch, в которой рассказывалось о том, как ИБ-эксперт использовал API Twitter для сопоставления 17 000 000 телефонных номеров с публичными именами пользователей.
После публикации этой заметки Twitter немедленно приостановил работу большой сети фейковых учетных записей, которые использовались для отправки запросов к API. Проведенное после этого расследование выявило дополнительные доказательства того, что баг в API использовался не только упомянутым ИБ-экспертом, но и другими третьими сторонами. Кем именно были эти третьи стороны пока не раскрывается, но известно, что некоторые IP-адреса, с которых пытались злоупотреблять функциями API, могли быть связаны с правительственными хак-группами Так, в основном запросы шли из Ирана, Израиля и Малайзии.
Баг в API был связан с легитимной функцией, которая позволяет новым пользователям находить в Twitter знакомых. Проблема позволяла добавлять номера телефонов и сопоставлять их с известными учетными записями Twitter. В итоге атаки коснулись не всех пользователей, а лишь тех, кто включил в настройках опцию, разрешающую другим пользователям находить себя по номеру телефона.
В настоящее время проблема уже исправлена, и конкретные имена учетных записей в ответ на такой запрос получить нельзя.
 
Сверху