Ibrahim Balic è diventato un nome che Twitter ricorderà sicuramente. Il ricercatore ha scoperto un difetto in un'app Twitter per Android che ha portato al triste regalo di abbinare 17 milioni di numeri di telefono, quando li ha caricati, con conti.

Lo faceva da due mesi, detti rapporti, prima che Twitter lo bloccasse il 20 dicembre.

Tali partite sono state fatte in Israele, Tacchino, Iran, Grecia, Armenia e Germania. Alcuni dei conti erano di funzionari governativi, detti rapporti.

Come ha fatto Balic? Ha caricato un elenco di numeri di telefono generati tramite la funzione di caricamento dei contatti di Twitter, disse TechCrunch .

Zack Whittaker, redattore di sicurezza, a TechCrunch , aveva la storia tanto citata dell'exploit numero di telefono-account del ricercatore. Nello specifico, ha scritto Whittaker, Balic "ha generato più di due miliardi di numeri di telefono, uno dopo l'altro, poi randomizzato i numeri, e li ha caricati su Twitter tramite l'app per Android. (Balic ha detto che il bug non esisteva nella funzione di caricamento basata sul web.)"

Bill Toulas in TechNadu allo stesso modo ha sottolineato che Twitter aveva un blocco in atto che impediva il caricamento di elenchi di numeri in un formato sequenziale, in previsione che l'abuso fosse possibile, ma caricare "elenchi enormi" tramite l'app Android era "ancora perfettamente fattibile".

TechCrunch , infatti, voleva vedere di persona se l'esperienza di Balic poteva andare bene anche per loro. Whittaker ha riportato i risultati interni. "Utilizzando la funzione di reimpostazione della password del sito, abbiamo verificato i suoi risultati confrontando una selezione casuale di nomi utente con i numeri di telefono forniti. In un caso, TechCrunch è stato in grado di identificare un politico israeliano di alto livello utilizzando il numero di telefono corrispondente".

Questa non sarebbe la prima volta che gli addetti alla sicurezza sentono parlare di Balic, che in precedenza era noto per aver identificato una violazione della sicurezza nel 2013 che ha colpito il centro sviluppatori di Apple.

Stacy Liberatore nel Mail giornaliera ha affermato che "Sebbene Balic non abbia avvisato Twitter del bug, si è preso la responsabilità di farlo sapere agli utenti di alto profilo tramite WhatsApp.

Jon Fingas in Engadget , nel frattempo, ha riferito che il portavoce della società Aly Pavela ha detto che la società stava indagando sul bug. "Ha bloccato l'attività sospendendo gli account utilizzati per ottenere informazioni sulle persone, " disse Fingas.

Ha mostrato la dichiarazione di Twitter in risposta:

"Prendiamo seriamente queste segnalazioni e stiamo indagando attivamente per garantire che questo bug non possa essere sfruttato di nuovo. Quando abbiamo appreso di questo bug, abbiamo sospeso gli account utilizzati per accedere in modo inappropriato alle informazioni personali delle persone. Proteggere la privacy e la sicurezza delle persone che utilizzano Twitter è la nostra priorità numero uno e rimaniamo concentrati sull'arresto rapido dello spam e degli abusi derivanti dall'uso delle API di Twitter. "

Toula, TechNadu , riferito su come stavano le cose mercoledì. "Come ha affermato un portavoce della piattaforma, ora si prenderanno cura delle lacune API che consentono questo tipo di abuso".

Nel frattempo, la notizia dei match-up ha attirato le risposte dei lettori in Engadget anche quelli informativi. Mostrano che non tutti reagiscono allo stesso modo ai titoli sulle violazioni dei dati e sulle rivelazioni dei contatti. Le reazioni sono una gamma di quelle indurite da tutto questo, ma dì se non hai nulla da nascondere allora rilassati, il tuo numero di telefono non è la fine del mondo, a chi dice di no, in realtà è un grosso problema, nell'era digitale.

Un campione tra i disgustati:"Ugh, non fidarti mai di queste aziende con il tuo numero/" e un altro, "Non sono così stupido da includere il mio numero di telefono in un sito di social network. Qualsiasi sito che richiede un numero di telefono per la creazione di un account non vale il mio tempo."

Commento No-Big-Deal:"Suona semplicemente orribile... oh giusto ricordi per decenni quando abbiamo avuto queste cose pazze chiamate elenchi telefonici che avevano non solo il tuo numero di telefono ma anche l'indirizzo di casa in loro? L'orrore."

Contro-commento:"Non si tratta di informazioni su base individuale, ma come le informazioni possono essere abusate in lungo e in largo tra centinaia, migliaia e milioni di persone in tutto il mondo in modo rapido ed economico".

© 2019 Science X Network