Videnskab
 science >> Videnskab >  >> Elektronik

Twitter Android app malket til matchende telefonnumre, regnskaber

Kredit:CC0 Public Domain

Ibrahim Balic er blevet et navn, Twitter helt sikkert vil huske. Forskeren opdagede en fejl i en Twitter Android-app, der resulterede i den sørgelige gave at matche 17 millioner telefonnumre, da han uploadede dem, med regnskaber.

Han gjorde dette i to måneder, sagde rapporter, før Twitter blokerede ham den 20. december.

Sådanne kampe blev lavet i Israel, Kalkun, Iran, Grækenland, Armenien og Tyskland. Nogle af regnskaberne var fra embedsmænd, sagde rapporter.

Hvordan gjorde Balic det? Han uploadede en liste over genererede telefonnumre gennem Twitters funktionen til upload af kontakter, sagde TechCrunch .

Zack Whittaker, sikkerhedsredaktør, på TechCrunch , havde den meget citerede historie om forskerens telefonnummer-konto udnyttelse. Specifikt, skrev Whittaker, Balic "genererede mere end to milliarder telefonnumre, den ene efter den anden, derefter randomiserede tallene, og uploadede dem til Twitter via Android-appen. (Balic sagde, at fejlen ikke eksisterede i den webbaserede uploadfunktion.)"

Bill Toulas ind TechNadu påpegede ligeledes, at Twitter havde en blokering på plads, der forhindrede upload af lister med numre i et sekventielt format, i forventning om, at misbrug var muligt, men upload af "humongous lister" gennem Android-appen var "stadig perfekt gennemførligt."

TechCrunch , faktisk, ville selv se, om Balics oplevelse også kunne ramme dem. Whittaker rapporterede de interne resultater. "Ved brug af webstedets funktion til nulstilling af adgangskode, vi bekræftede hans resultater ved at sammenligne et tilfældigt udvalg af brugernavne med de telefonnumre, der blev givet. I et tilfælde TechCrunch var i stand til at identificere en højtstående israelsk politiker ved hjælp af deres matchede telefonnummer."

Det ville ikke være første gang sikkerhedsvagter hørte om Balic, som tidligere var kendt for at identificere en sikkerhedsfejl i 2013, der påvirkede Apples udviklercenter.

Stacy Liberatore i Daglig post sagde, at "Selvom Balic ikke gjorde Twitter opmærksom på fejlen, han påtog sig at lade højprofilerede brugere vide om det via WhatsApp.

Jon Fingas ind Engadget , i mellemtiden, rapporterede, at virksomhedens talsmand Aly Pavela sagde, at virksomheden undersøgte fejlen. "Det blokerede aktiviteten ved at suspendere de konti, der blev brugt til at få folks oplysninger, " sagde Fingas.

Han viste Twitters erklæring som svar:

"Vi tager disse rapporter alvorligt og undersøger aktivt for at sikre, at denne fejl ikke kan udnyttes igen. Da vi hørte om denne fejl, vi suspenderede de konti, der blev brugt til at få upassende adgang til folks personlige oplysninger. Beskyttelse af privatlivets fred og sikkerhed for de mennesker, der bruger Twitter, er vores førsteprioritet, og vi er fortsat fokuseret på hurtigt at stoppe spam og misbrug, der stammer fra brugen af ​​Twitters API'er. "

Toulas, TechNadu , fortalte om, hvordan tingene stod til onsdag. "Som en talsmand for platformen udtalte, de vil nu tage sig af API-hullerne, der tillader denne form for misbrug."

I mellemtiden nyhederne om match-ups trak læsersvar ind Engadget som også er informative. De viser, at ikke alle reagerer ens på overskrifter om databrud og kontaktafsløringer. Reaktionerne løber et spektrum af dem, der er hærdede af alt dette, men sig, hvis du ikke har noget at skjule, skal du bare slappe af, dit telefonnummer er ikke verdens undergang, til dem, der siger nej, det er faktisk en stor sag, i den digitale tidsalder.

En prøve blandt de væmmede:"Øh, aldrig tillid til disse virksomheder med dit nummer/" og en anden, "Jeg er ikke dum nok til at inkludere mit telefonnummer på et socialt netværkswebsted. Ethvert websted, der kræver et telefonnummer til kontooprettelse, er ikke min tid værd."

No-Big-Deal kommentar:"Lyder bare forfærdeligt ... åh rigtigt huske i årtier, hvor vi havde disse skøre ting kaldet telefonbøger, der ikke kun havde dit telefonnummer, men også hjemmeadresse i dem? Skrækken."

Modkommentar:"Det handler ikke om oplysningerne på personbasis, men hvordan informationen kan misbruges vidt og bredt på tværs af hundredvis, tusinder og millioner af mennesker rundt om i verden hurtigt og billigt."

© 2019 Science X Network




Varme artikler