Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Киберпреступники эксплуатировали уязвимость в API Twitter

04/02/20

hacktwitКомпания Twitter раскрыла подробности о кибератаках, в ходе которых посторонние лица использовали официальный API компании для сопоставления телефонных номеров с именами пользователей социальной сети.

Об инциденте стало известно 24 декабря 2019 года. Напомним, в тот же день исследователь безопасности Ибрагим Балич (Ibrahim Balic) обнаружил уязвимость в приложении Twitter для Android, эксплуатация которой позволила ему сопоставить 17 млн телефонных номеров с учетными записями в Twitter.

Вслед за этим компания обнаружила и немедленно приостановила работу крупной сети фейковых учетных записей, которые использовались для эксплуатации уязвимости в социальной сети. По словам Twitter, некоторые из IP-адресов, использованных во время атак, были связаны со спонсируемыми государством группировками. Особенной большой объем запросов поступал с IP-адресов в Иране, Израиле и Малайзии.

Эксплуатация осуществлялась через функцию загрузки контактов в приложении. При загрузке пользователем своего номера телефона система отправляла пользовательские данные. Функция загрузки контактов в Twitter не разрешает загружать список номеров в последовательном порядке во избежание злоупотребления.

Как отметила Twitter, данные атаки могли затронуть только тех пользователей соцсети, кто разрешил в настройках сопоставление по номеру телефона.

Темы:TwitterПреступления
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...