פרצה בטוויטר אפשרה למצוא מספרי טלפון של משתמשים, כולל פוליטיקאים מישראל
חוקר אבטחת מידע הצליח לצמד מיליוני מספרי טלפון לחשבונות המשתמשים בטוויטר. הפרצה נמצאה באפליקציית האנדרואיד של הרשת החברתית והחברה מיהרה לחסום אותה
חוקר אבטחת מידע טוען שהצליח להתאים 17 מיליון מספרי טלפון לחשבונות משתמשים בטוויטר באמצעות פרצה באפליקציית אנדרואיד של הרשת החברתית. איברהים באליק גילה שאפשרי להעלות רשימות שלמות של מספרי טלפון באמצעות מאפיין ההעלאה של טוויטר קונטקטס . "אם אתם מזינים את מספר הטלפון שלכם, הוא משיג לכם מידע משתמשים בתמורה", אמר באליק לטקראנץ'.
- אפליקציית הריגול מאיחוד האמירויות - והקשר הישראלי
- "לא צריך להיות מקודד גאון ומוצלח בשביל לשגר התקפות סייבר"
- פייסבוק וטוויטר: סגרנו רשת של חשבונות מזויפים שתמכה בנשיא טראמפ
באליק הסביר שמאפיין העלאת אנשי הקשר של טוויטר לא מקבל רשימות של מספרי טלפון בפורמט מתמשך (sequential format) – כנראה כדרך למנוע את סוג הפעולה הזו. במקום, הוא יצר שני מיליארד מספרי טלפון, זה אחר זה, ואז עשה רנדומיזציה למספרים, והעלה אותם לטוויטר באמצעות אפליקציית האנדרואיד.
טוויטר חסמה את הפרצה צילום: TechCrunch
באליק אמר שהבאג לא קיים במאפיין ההעלאה האינטרנטי דרך הדפדפן. במהלך תקופה של חודשיים, באליק סיפר שהצליח למצוא פרטים של משתמשים מישראל, טורקיה, איראן, יוון, ארמניה, צרפת וגרמניה, אך שהפסיק לאחר שטוויטר חסמה אותו ב-20 בדצמבר. באליק נתן לטקראנץ' דוגמאות של מספרי הטלפון שהצליח להצמיד למשתמשים.
באמצעות מאפיין שינוי הסיסמא של האתר, טקראנץ' אימת את ממצאיו ע"י השוואת מספר שמות משתמשים רנדומליים למספרי טלפון שסופקו על ידי החוקר. באחד המקרים, הצליחו לזהות פוליטיקאי ישראלי בכיר באמצעות צימוד מספר הטלפון שלו.
למרות שלא הזהיר את טוויטר ישירות, באליק יצר קבוצת ווטסאפ עם מספרי טלפון של כמה משתמשי טוויטר ידועים – כולל פוליטיקאים ופקידים בכירים – בניסיון להזהירם. אין סיבה להאמין שפעולותיו של באליק קשורות לפוסט טוויטר שפורסם השבוע, שאישר את קיומו של באג שאיפשר "לשחקן זדוני לראות פרטי חשבון או לשלוט בחשבון אחר," כמו העלאת ציוצים, שליחת הודעות, או זיהוי מיקום. דובר של טוויטר אמר שהחברה פועלת כדי "לוודא שהבאג הזה לא ישמש אף אחד שנית".
