1700万の電話番号がTwitterのバグを使用してAndroidアプリでユーザーアカウントにマッチングされました

Twitterはまたしてもデータ漏洩を経験しました。今回はAndroidアプリに関連しています。セキュリティ研究者がTwitterのAndroidアプリに何百万もの電話番号をアップロードし、それらをユーザーアカウントにマッチングさせることでバグを発見しました。 通常、Twitterはユーザーが電話番号のリストを順番にアップロードすることを許可していませんが、研究者はこの機能をバイパスする方法を見つけました。

Ibrahim Balicという研究者は、たくさんの携帯電話番号を生成し、それをランダムに並べ替え、連絡先アップロード機能を通じてアプリにアップロードしました。** ユーザーが電話番号をアップロードすると、Twitterは一致するデータを取得するとIbrahim Balicは言いました。

研究者はバグを直接Twitterに報告しませんでした。代わりに、特別に作成したWhatsAppグループで一部のユーザーに脆弱性を通知しました。

二ヶ月間で、彼はイスラエル、アルメニア、ドイツ、ギリシャ、イラン、フランスなどの国々のユーザーのアカウントに電話番号をマッチングさせることができました。一部のユーザーは政治家や政府関係者でした。12月20日に、TwitterはBalicの試みをブロックしました。なぜなら、彼は世界中の影響力のある人々の電話番号をマッチングさせることができたからです。

一週間前、TwitterはユーザーにAndroidアプリの更新が必要であることを警告しましたが、研究者が発見したこの特定のバグについて指しているのかは不明です。

Twitterの広報担当者であるAly Pavelaは声明で述べました。

私たちはこの報告を深刻に受け止め、再びこのバグが悪用されないよう積極的に調査しています。このバグについて知ったとき、不適切に人々の個人情報にアクセスするために使用されたアカウントを停止しました。Twitterを利用する人々のプライバシーと安全を保護することは私たちの最優先事項であり、TwitterのAPIを使用したスパムや悪用を迅速に阻止することに注力し続けています。