Běžná funkce v aplikaci Twitter expertovi vyzradila, komu patří 17 milionů telefonních čísel

Pokud používáte aplikaci Twitter v mobilním telefonu, velmi pravděpodobně vám byla nabídnuta možnost vyhledat, zda na této sociální síti nefigurují osoby z vašich kontaktů. Pokud jste tuto možnost akceptovali, aplikace následně porovnala telefonní čísla z vašeho seznamu s čísly uloženými u jednotlivých uživatelských účtů.

Tato funkce zaujala bezpečnostního experta Ibrahima Balice, který využil mobilní aplikaci Twitter pro Android a zkusil jejím prostřednictvím přiřazovat vygenerovaná telefonní čísla k existujícím účtům. Experiment mu ulehčilo zjištění, že pomocí funkce odesílání kontaktů je možné nahrát celé seznamy telefonních čísel. V případě nalezení shody Twitter vrátí uživatelská jména účtů, jimž čísla patří. Podrobnosti přinesl server TechCrunch.

Jak se útočí na Twitter

Balic zjistil, že funkce porovnání čísel nepřijme vzestupnou řadu, což je patrně jedním ze způsobů ochrany proti tomuto typu zneužití. Postupoval tedy tak, že vygeneroval dvě miliardy telefonních čísel, poté je náhodně rozdělil a prostřednictvím aplikace postupně nahrával na Twitter.

Během dvou měsíců se mu povedlo tímto způsobem porovnat a přiřadit 17 milionů uživatelských účtů spojených s uživateli v Izraeli, Turecku, Íránu, Řecku, Arménii, Francii a Německu. Své pokusy ukončil až 20. prosince, kdy Twitter jeho pokusy zablokoval.

Balic poskytl serveru TechCrunch vzorek telefonních čísel. Jeho redaktoři pak pomocí funkce pro obnovení hesla na webu ověřili, že čísla skutečně odpovídají uvedeným uživatelským jménům. V jednom případě se dokonce jednalo o vysoce postaveného izraelského politika.

Na nápravě se pracuje

Nutno podotknout, že uvedený způsob zjišťování účtů a telefonních čísel pravděpodobně nijak nesouvisí s nedávno objevenou bezpečnostní chybou, kvůli které Twitter důrazně doporučoval aktualizovat svou mobilní aplikaci pro operační systém Android.

Tisková mluvčí Aly Pavela řekla, že Twitter pracuje na „zajištění toho, aby tuto chybu nebylo možné znovu využít“. Dále uvedla: „Když jsme se o této chybě dozvěděli, pozastavili jsme účty používané k nevhodnému přístupu k osobním informacím. Ochrana soukromí a bezpečnosti uživatelů je naší prioritou číslo jedna a nadále se zaměřujeme na rychlé zastavení spamu a zneužívání API pro Twitter.“

Diskuze (3) Další článek: General Motors chce testovat samořídící vozy bez volantů

Témata článku: Sociální sítě, Android, Twitter, Mobilní aplikace, Francie, Německo, Izrael, Turecko, TechCrunch, Účet, Číslo, Uživatelský účet, Uživatelské jméno, Řecko, Telefonní číslo, Írán, Arménie, Phone number, Aplikace, Funkce, APL


Určitě si přečtěte

Vy a počítač: Virtuální plochy ve Windows mají smysl, používá je třetina čtenářů
Vladislav Kluska
Jak používáte počítačWindows 10Ankety
Jak najít hranice území obcí a okresů, abyste věděli, kde se můžete pohybovat
Filip KůželJakub Čížek
KoronavirusMapy
Fedora 33 prostě funguje. Linux si zaslouží dobýt laptop, je to ale asi opět marné

Fedora 33 prostě funguje. Linux si zaslouží dobýt laptop, je to ale asi opět marné

** Desktopový Linux funguje a vypadá stále lépe ** Fedora 33 není výjimkou ** Ve stínu Windows a macOS tu vyrostly skvělé alternativy

Jakub Čížek | 168

Jakub Čížek
FedoraOperační systémyLinux
Micro:bit V2: Tuto destičku plnou čipů dokáže naprogramovat i vaše babička

Micro:bit V2: Tuto destičku plnou čipů dokáže naprogramovat i vaše babička

** Chcete se teď hned naučit programovat čipy? ** Nechcete nic instalovat a číst zdlouhavé manuály? ** Naprogramujeme si Micro:bit, který zahraje Tichou noc

Jakub Čížek | 35

Jakub Čížek
Pojďme programovat elektronikuProgramování pro děti
Apple Macbook Air M1: testujeme výkon, výdrž, a hlavně kompatibilitu aplikací [průběžně aktualizováno]

Apple Macbook Air M1: testujeme výkon, výdrž, a hlavně kompatibilitu aplikací [průběžně aktualizováno]

** Testujeme Apple Macbook Air s procesorem M1 ** Zajímá nás nejen výkon, ale zejména kompatibilita aplikací ** Článek je průběžně doplňován na základě vašich dotazů

Jiří Kuruc | 209

Jiří Kuruc
Apple
Čekali jsme skoro šest let. Android Auto jede do Česka i na Slovensko
Lukáš Václavík
Android AutoNavigaceGoogle
Vodafonu se zhroutila kabelovka. Síť bývalého UPC má výpadky
Lukáš Václavík
VodafoneUPC
Můžete mít dvakrát rychlejší VDSL? Mapa Cetinu ukazuje, kde je dostupný bonding
Lukáš Václavík
CETINPřipojení k internetu
Konec modrých obrazovek smrti? Microsoft vydává mimořádnou aktualizaci pro Windows 10
Karel Kilián
Windows UpdateAktualizaceWindows 10