Дыра в Twitter для Android позволила украсть номера телефонов 17 млн пользователей

Исследователь безопасности Ибрагим Балич (Ibrahim Balic) сообщил, что получил доступ к 17 млн телефонных номеров, содержащихся в учётных записях Twitter, используя уязвимость в мобильном клиенте сервиса микроблогов для Android. Он обнаружил, что с помощью функции загрузки контактов можно получить пользовательские данные через номера телефонов.

Балич сгенерировал более двух миллиардов телефонных номеров и в случайном порядке загрузил их в Twitter через Android-приложение. В ответ он получил данные реальных пользователей, номера телефонов которых совпали. По словам исследователя, в течение двух месяцев он мог сопоставлять записи пользователей из Израиля, Турции, Ирана, Греции, Армении, Франции и Германии. До тех пор, пока сервис его не заблокировал за подозрительные действия на платформе. В одном случае был даже идентифицирован высокопоставленный израильский политик.

По сути, обладая номером телефона любого реального пользователя, можно сбросить пароль и получить полный контроль над учётной записью. Перед тем, как уведомить Twitter о найденной уязвимости, Балич собрал телефонные номера известных пользователей и связался с ними напрямую через WhatsApp. Когда в службе безопасности сервиса узнали о проблеме, они опубликовали заметку, в которой признали ошибку и пообещали исправить её в ближайшее время. На текущий момент учётные записи, используемые для неправомерного доступа к личной информации пользователей, временно заблокированы.

Это не первая оплошность Twitter в области безопасности. В мае этого года сервис по ошибке предоставлял данные о местоположении одному из своих партнёров, даже если пользователь запретил отслеживание геопозиции. В августе компания непреднамеренно предоставила рекламным компаниям больше данных, чем от неё требовалось.