Спонсируемых государством хакеров, как полагают, используют интерфейс программирования приложений социальной сети Twitter (API) для сопоставления имен пользователей на телефонные номера.

В Twitter обнаружен безымянный актер в прошлом году большая сеть поддельных счетов за теракт в канун Рождества.

Фейковые аккаунты были приостановлены, и Twitter сказал, что они находятся в широком диапазоне стран.

Однако, сотрудники безопасности в Twitter заметил, что особенно большое количество запросов к API пришел с IP-адреса, расположенные на территории Израиля, Ирана и Малайзии.

Эти IP-адреса могут быть связаны с государственной актеров, сказал Твиттер.

Социальной сети не уточнил, сколько именно фальшивых аккаунтов были использованы для нападения, или сколько пользователей были созданы.

Сайт TechCrunch сообщает , что исследователь Ибрагим Балич, была возможность загружать списки с более чем двумя миллиардами номера телефонов он создан, и в произвольном порядке, в Твиттере уязвимость в социальной сети приложение для Android.

Балич был в состоянии соответствовать 17 миллионов телефонов к учетным записям пользователей в течение двух месяцев, пока Твиттер заблокировал запросы к API на 20 декабря.

Исследователь не уведомления Twitter на уязвимости, но использовать телефонные номера громких пользователей, таких как политики и государственные чиновники и установить WhatsApp группы, чтобы предупредить их напрямую.

Twitter сказал, что в конечную точку API делает его легче для новых владельцев счетов, чтобы найти людей, они уже знают, кто в социальной сети.

Запросы к API работали только в отношении счетов, которые имели “пусть те, кто знает ваш номер телефона, найти вас на Twitter” включена. Кроме того, учетные записи необходимо иметь номер телефона, связанный с ними, что Твиттер используется для требуют пользователей, когда это начиналось как СМС-услуга.

Вот когда он используется по назначению; использования API для сопоставления имен пользователей на телефонные номера “за пределами предполагаемого использования” Twitter сообщил.

Это уже не возможно для запросов к API и возвращать имя пользователя, связанного с номером телефона.

В Twitter извинилась за утечку данных, но не сказал, что он свяжется с тем, кто пострадал от него.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here