+11 голос |
Ибрагим Балик (Ibrahim Balic), получивший известность в 2103 г. благодаря открытой им проблеме с защитой центра разработки компании Apple, в своём недавнем твите сообщил о недоработке в приложении Twitter для платформы Android.
Используя баг функции выгрузки контактов, Балик смог связать 17 миллионов номеров телефонов с учётными записями их владельцев в Twitter. «Если вы загрузите (на сервер) номер телефона, он в ответ выдаст данные пользователя», — пояснил он.
Хотя Twitter не позволяет вводить телефонные номера списком — возможно, чтобы предотвратить такое злоупотребление — исследователь смог загрузить более двух миллиардов сгенерированных номеров один за другим через Android-приложение (браузерная версия Twitter, по его словам, не имеет этого недостатка).
В ходе экспериментов, длившихся два месяца, пока 20 декабря Twitter не закрыла эту брешь, Балик смог сопоставить с номерами записи пользователей из Израиля, Турции, Ирана, Греции, Армении, Франции и Германии, включая политиков и знаменитостей.
В блоге на этой неделе Twitter рассказала о другом баге, который позволял злоумышленнику видеть скрытую от публики информацию об учетной записи, включая твиты, прямые сообщения и сведения о местонахождении, а также контролировать чужой эккаунт. Представитель компании заверил СМИ, что Twitter после изучения проблемы заблокировала все связанные с ней хакерские эккаунты и работает над тем, чтобы этот дефект больше никогда нельзя было использовать в преступных целях.
Уходящий год оказался для Twitter богат на проблемы с сохранением приватности. В мае компания признала, что передавала партнёру позиционные данные пользователей, даже если те отказывались делиться ими. В августе вскрылось, что партнёры Twitter получали больше данных, чем следовало, а в ноябре подтвердилось, что номера телефонов пользователей, предоставлявшиеся ими для двухфакторной аутентификации, компания применяла для таргетирования рекламы.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+11 голос |