17 Millionen Telefonnummern per Twitter App-Bug abgegriffen

Eine Schwachstelle in der Android Twitter-App hat einem Sicherheitsforscher ermöglicht, 17 Millionen Telefonnummern, die zur Sicherung von Twitter-Konten eingegeben wurden, abzugreifen.


Anzeige

Ibrahim Balic fand heraus, dass es möglich war, ganze Listen von generierten Telefonnummern über die Kontakt-Upload-Funktion von Twitter hochzuladen. „Wenn du deine Telefonnummer hochlädst, holt es sich im Gegenzug Benutzerdaten“, teilte er  TechCrunch mit.

Twitter-Sperre ausgetrickst

Laut Sicherheitsforscher erlaubt die Twitter Kontakt-Upload-Funktion keine Listen mit Telefonnummern in sequentiellem Format. Der Forscher vermutet, dass das eine Art Schutz darstellen soll. Also generierte er mehr als zwei Milliarden Telefonnummern, und anschließend lud er diese Nummern dann per Zufallsgenerator über die Android-App auf Twitter hoch.

Über einen Zeitraum von zwei Monaten konnte Balic Datensätze von Nutzern aus Israel, der Türkei, dem Iran, Griechenland, Armenien, Frankreich und Deutschland zusammenführen. Er hörte auf, nachdem Twitter die Bemühungen am 20. Dezember 2019 blockierte. Wer also ein Twitter-Konto in Deutschland besitzt, sollte davon ausgehen, dass seine Telefonnummer abgegriffen werden konnte.

Balic stellte TechCrunch Muster der Telefonnummern zur Verfügung, die er abgeglichen hat. Mit Hilfe der Passwortrücksetzungsfunktion der Twitter-Webseite verifizierte Techcrunch seine Ergebnisse, indem eine zufällige Auswahl von Benutzernamen mit den angegebenen Telefonnummern verglichen wurde.

In einem Fall war TechCrunch in der Lage, einen hochrangigen israelischen Politiker anhand der übereinstimmenden Telefonnummer zu identifizieren. Obwohl er Twitter nicht auf die Sicherheitslücke aufmerksam machte, fütterte er eine Reihe Telefonnummern in eine WhatsApp-Gruppe, um hochrangige Twitter-Nutzer – darunter Politiker und Beamte – zu warnen. Die sind also offenbar nicht nur mit ihren Telefonnummern bei Twitter, sondern auch bei WhatsApp registriert. Weitere Details finden sich in diesem Artikel bei Techcrunch.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit, Twitter verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.