Το Twitter αποκάλυψε χθες ότι κάποιος εκμεταλλεύτηκε το επίσημο API της εταιρείας (Application Programming Interface) για να μπορέσει να ταιριάξει τους τηλεφωνικούς αριθμούς με τα usernames των χρηστών της πλατφόρμας.
Το Twitter ενημερώθηκε για το περιστατικό ασφαλείας από μια έκθεση που δημοσίευσε το site TechCrunch. Σύμφωνα με την έκθεση, η εκμετάλλευση του API έγινε στις 24 Δεκεμβρίου 2019. Σύμφωνα με την έκθεση, ένας ερευνητής ασφαλείας καταχράστηκε το επίσημο API του Twitter για να αντιστοιχίσει 17 εκατομμύρια τηλεφωνικούς αριθμούς με δημόσια usernames.
Το Twitter λέει ότι μόλις έμαθε για το περιστατικό, ανέλαβε δράση και έκλεισε αμέσως ένα μεγάλο δίκτυο ψεύτικων λογαριασμών που χρησιμοποιούνταν γι’ αυτό το σκοπό.
Η πλατφόρμα κοινωνικής δικτύωσης αποκάλυψε, επίσης, ότι διεξήγαγε κι άλλη έρευνα και ανακάλυψε ότι υπήρχαν και άλλοι που εκμεταλλεύτηκαν το API, πέρα από τον ερευνητή ασφαλείας που ανέφερε το TechCrunch.
Το Twitter δεν διευκρίνισε ποιοι ήταν αυτοί που καταχράστηκαν το API, αλλά δήλωσε ότι ορισμένες από τις διευθύνσεις IP που χρησιμοποιήθηκαν στις απόπειρες εκμετάλλευσης του API σχετίζονταν με κρατικές hacking ομάδες (είτε κυβερνητικές υπηρεσίες πληροφοριών είτε hacking ομάδες που απλά υποστηρίζονται από κυβερνήσεις).
Το σφάλμα API του Twitter που εκμεταλλεύτηκαν οι hackers
Σύμφωνα με το Twitter, οι επιτιθέμενοι εκμεταλλεύτηκαν ένα νόμιμο API endpoint που επιτρέπει στους νέους κατόχους λογαριασμών να βρίσκουν άτομα στην πλατφόρμα κοινωνικής δικτύωσης. Το API endpoint επιτρέπει στους χρήστες να υποβάλλουν αριθμούς τηλεφώνου και να τους ταιριάζουν με λογαριασμούς.
Σύμφωνα με την πλατφόρμα, δεν επηρεάστηκαν όλοι οι χρήστες αλλά μόνο αυτοί που είχαν επιλέξει στις ρυθμίσεις την επιλογή αντιστοίχησης βάσει αριθμών τηλεφώνου.
“Τα άτομα που δεν έχουν ενεργοποιήσει αυτή τη ρύθμιση ή δεν διαθέτουν αριθμό τηλεφώνου συνδεδεμένο με το λογαριασμό τους δεν επηρεάστηκαν από αυτήν την ευπάθεια”, δήλωσε το Twitter.
Η πλατφόρμα δήλωσε ότι διόρθωσε αμέσως το σφάλμα κάνοντας μια σειρά αλλαγών σε αυτό το endpoint, ώστε να μην επηρεαστεί κανένας άλλος χρήστης.
 για να μπορέσει να){kind=link}