Атака на Twitter: украдены номера пользователей
Хакеры использовали официальный API Twitter для сопоставления телефонных номеров с именами пользователей.
Об этом сообщили на официальном сайте компании.
"24 декабря 2019 года нам стало известно, что кто-то пользуется большой сетью поддельных учетных записей для использования нашего API и сопоставления имен пользователей с телефонными номерами. Мы немедленно приостановили действие этих учетных записей и раскрываем вам детали нашего расследования сегодня, поскольку считаем важным, чтобы вы знали о том, что произошло и как мы это исправили", – сказано в заявлении.
Специалисты узнали о происходящем после публикации издания TechCrunch, в которой рассказывалось о том, как ИБ-эксперт использовал API соцсети для сопоставления 17 миллионов телефонных номеров с публичными именами пользователей.
Расследование выявило, что баг использовался не только упомянутым экспертом, но и другими третьими лицами. Некоторые IP-адреса, с которых пытались злоупотреблять функциями API, могли быть связаны с правительственными хак-группами. В основном запросы шли из Ирана, Израиля и Малайзии.
Баг в API был связан с легитимной функцией, которая позволяет новым пользователям находить в Twitter знакомых. Проблема позволяла добавлять номера телефонов и сопоставлять их с известными учетными записями. В итоге атаки коснулись не всех пользователей, а лишь тех, кто включил в настройках опцию, разрешающую другим находить себя по номеру телефона.