Pokud používáte aplikaci Twitter v mobilním telefonu, velmi pravděpodobně vám byla nabídnuta možnost vyhledat, zda na této sociální síti nefigurují osoby z vašich kontaktů. Pokud jste tuto možnost akceptovali, aplikace následně porovnala telefonní čísla z vašeho seznamu s čísly uloženými u jednotlivých uživatelských účtů.
Tato funkce zaujala bezpečnostního experta Ibrahima Balice, který využil mobilní aplikaci Twitter pro Android a zkusil jejím prostřednictvím přiřazovat vygenerovaná telefonní čísla k existujícím účtům. Experiment mu ulehčilo zjištění, že pomocí funkce odesílání kontaktů je možné nahrát celé seznamy telefonních čísel. V případě nalezení shody Twitter vrátí uživatelská jména účtů, jimž čísla patří. Podrobnosti přinesl server TechCrunch.
Jak se útočí na Twitter
Balic zjistil, že funkce porovnání čísel nepřijme vzestupnou řadu, což je patrně jedním ze způsobů ochrany proti tomuto typu zneužití. Postupoval tedy tak, že vygeneroval dvě miliardy telefonních čísel, poté je náhodně rozdělil a prostřednictvím aplikace postupně nahrával na Twitter.
Během dvou měsíců se mu povedlo tímto způsobem porovnat a přiřadit 17 milionů uživatelských účtů spojených s uživateli v Izraeli, Turecku, Íránu, Řecku, Arménii, Francii a Německu. Své pokusy ukončil až 20. prosince, kdy Twitter jeho pokusy zablokoval.
Balic poskytl serveru TechCrunch vzorek telefonních čísel. Jeho redaktoři pak pomocí funkce pro obnovení hesla na webu ověřili, že čísla skutečně odpovídají uvedeným uživatelským jménům. V jednom případě se dokonce jednalo o vysoce postaveného izraelského politika.
Na nápravě se pracuje
Nutno podotknout, že uvedený způsob zjišťování účtů a telefonních čísel pravděpodobně nijak nesouvisí s nedávno objevenou bezpečnostní chybou, kvůli které Twitter důrazně doporučoval aktualizovat svou mobilní aplikaci pro operační systém Android.
Tisková mluvčí Aly Pavela řekla, že Twitter pracuje na „zajištění toho, aby tuto chybu nebylo možné znovu využít“. Dále uvedla: „Když jsme se o této chybě dozvěděli, pozastavili jsme účty používané k nevhodnému přístupu k osobním informacím. Ochrana soukromí a bezpečnosti uživatelů je naší prioritou číslo jedna a nadále se zaměřujeme na rychlé zastavení spamu a zneužívání API pro Twitter.“
