В Twitter нашли ещё одну брешь в безопасности

Исследователь в сфере информационной безопасности Ибрагим Балич (Ibrahim Balic) обнаружил уязвимость в мобильном приложении Twitter для платформы Android, использование которой позволило ему сопоставить 17 млн телефонных номеров с соответствующими учётными записями пользователей социальной сети.

Исследователь создал базу из 2 млрд номеров мобильных телефонов, после чего загружал их в случайном порядке в мобильное приложение Twitter, получая таким образом информацию о связанных с ними пользователях. За время проведения исследовательской деятельности Балич собрал данные о пользователях Twitter из Франции, Греции, Турции, Ирана, Израиля и ряда других стран, среди которых были крупные чиновники и значимые политические деятели.

Балич не уведомил Twitter о наличии уязвимости, но предупредил некоторых пользователей напрямую. Работа исследователя была прервана 20 декабря, после того, как администрация Twitter заблокировала аккаунты, используемые для сбора информации.

Пресс-секретарь Twitter Эли Павела (Aly Pavela) сообщила о том, что компания «серьёзно» воспринимает подобные сообщения и в настоящее время активно изучает деятельность Балича. Также было сказано о том, что компания не одобряет подход исследователя, поскольку он публично заявил об обнаружении уязвимости вместо того, чтобы связаться с представителями Twitter.

«Мы серьёзно относимся к подобным отчётам и внимательно их изучаем, чтобы гарантировать, что уязвимость не сможет использоваться повторно. Когда стало известно о проблеме, мы заблокировали учётные записи, используемые для неправомерного доступа к личной информации людей. Защита конфиденциальности и безопасности людей, использующих Twitter, является приоритетной задачей. Мы продолжим работу, направленную на быстрое устранение случаев злоупотребления API-интерфейсами Twitter», — сказала Эли Павела.