Ojoj. Medzinárodné internetové stránky mohli zneužiť rozhranie Twitteru na „zoškrabanie“ telefónnych čísel nezverejneného počtu používateľov Twitteru a ich prepojenie s existujúcimi účtami Twitter, Twitter oznámil v blogovom príspevku včera (febr. 3).

To nie je nič veľké, ak na twitteri použijete svoje skutočné meno alebo ste ho inak spoznali. Pre ľudí, ktorí sa snažia skryť svoju identitu na sociálnej sieti, by to však mohlo byť zničujúce.

Politickí disidenti, sociálni aktivisti, anonymní blogeri, píšťalky a ďalší ľudia, ktorí by radšej zostali neznámi, by mohli mať vyhodené kryty s možnými smrteľnými následkami. Spravodajské agentúry môžu na zacielenie telefónov so spywarom používať čísla mobilných telefónov.

Možno si teraz budete chcieť skontrolovať účet na Twitteri a zistiť, či ste zraniteľní voči tomuto druhu škrabania údajov. V mobilných aplikáciách Twitter alebo v stolnom prehliadači prejdite do časti Nastavenia >> Súkromie a bezpečnosť >> Viditeľnosť a kontakty.

Ak je povolené „Umožniť ľuďom, ktorí majú vaše telefónne číslo, nájsť vás na Twitteri“ alebo „Umožniť ostatným, aby vás našli pomocou vášho telefónu“, zrušte začiarknutie.

Nepamätáme si, že by sme povolili túto funkciu, ale bola zapnutá vo všetkých našich účtoch Twitter. Poskytli sme Twitteru naše telefónne číslo na účely dvojfaktorová autentifikácia.

Opravte jeden problém, nájdite iný

Twitter zistil tento problém pri vyšetrovaní incidentu na Štedrý večer 2019, keď bol hackerom v bielom klobúku Ibrahim Balic oznámil, že dokáže prepojiť používateľov Twitteru na 17 miliónov telefónnych čísel.

„Počas nášho vyšetrovania sme objavili ďalšie účty, o ktorých sa domnievame, že mohli využívať rovnaký koncový bod API nad rámec zamýšľaného použitia,“ uviedol Twitter vo svojom blogovom príspevku.

„Zaznamenali sme obzvlášť vysoký počet žiadostí prichádzajúcich z jednotlivých IP adries nachádzajúcich sa v Iráne, Izraeli a Malajzii,“ dodal nepodpísaný blogový príspevok. „Je možné, že niektoré z týchto adries IP môžu mať väzby na štátom sponzorované subjekty“ - inými slovami, spravodajské agentúry a špióni.

Balicove metódy boli jednoduché: Nahrával náhodne generované telefónne čísla, jedno po druhom, zo zoznamu kontaktov na telefóne s Androidom. (Hovorí Twitter na iPhone by to nefungovalo.) 

Ak by sa číslo zhodovalo s číslom používateľa Twitteru, API by vrátilo popisovač Twitteru daného používateľa. Zdá sa, že „štátom sponzorovaní herci“, Twitter, používali podobné metódy.

Žiadny nápad

Tupé je, že Twitter to mal vidieť prichádzať. Toto je veľmi jednoduchý enumeračný útok, pri ktorom jednoducho vygenerujete čísla a zadáte ich do API, aby ste získali citlivé údaje.

Facebook sa dostal do problémov v polovici roka 2018 pre umožňuje ľuďom vyhľadávať členov Facebooku prostredníctvom ich telefónnych čísel, ktorý bol zneužitý prostredníctvom výpočtu na vytvárať zoznamy inak neuvedených čísel mobilných telefónov.

V roku 2010 bola dvojica hackerov vymenované identifikačné čísla SIM kariet pre iPad vyškriabať viac ako 100 000 e-mailových adries z webu spoločnosti AT&T. V roku 2018 spoločnosť na ochranu identity LifeLocksa stal obeťou rovnakého druhu útoku.

Vo včerajšom príspevku na blogu spoločnosť Twitter uviedla, že problém vyriešila.

„V tomto koncovom bode sme okamžite vykonali množstvo zmien, aby už nemohol na základe dotazov vracať konkrétne názvy účtov,“ uviedol Twitter. „Ďalej sme pozastavili všetky účty, o ktorých sa domnievame, že využívali tento koncový bod.“

Dostali sme sa na Twitter, aby sme sa opýtali, koľko používateľov mohlo byť ovplyvnených a či má Twitter nejaké rady pre tých, ktorých sa to týkalo. Tento príbeh budeme aktualizovať, keď dostaneme odpoveď.

  • Najlepšia ochrana proti krádeži identity
  • Jeden trik na Twitteri, ktorý musí každý vedieť
  • Ako partia detí zastavila Instagram, aby ich sledoval

Získajte okamžitý prístup k najaktuálnejším novinkám, najaktuálnejším recenziám, skvelým ponukám a užitočným tipom.

Ďakujeme, že ste sa zaregistrovali do Tomovho sprievodcu. Čoskoro dostanete overovací e-mail.

Bol tu problém. Obnovte stránku a skúste to znova.

Žiadny spam, sľubujeme. Odber môžete kedykoľvek zrušiť a nikdy nebudeme zdieľať vaše podrobnosti bez vášho súhlasu.