Twitter hôm nay đã đưa ra cảnh báo tiết lộ rằng những kẻ tấn công đã lạm dụng một chức năng hợp pháp trên nền tảng của nó để xác định trái phép số điện thoại liên quan đến hàng triệu tài khoản của người dùng.
Theo Twitter, lỗ hổng nằm trong một trong các API đã được thiết kế để giúp người dùng dễ dàng tìm thấy những người mà họ có thể đã biết trên Twitter bằng cách khớp số điện thoại được lưu trong danh bạ của họ với tài khoản twitter.
Cần lưu ý, tính năng này hoạt động chính xác như dự định, ngoại trừ ai đó không được phép tải lên hàng triệu số điện thoại được tạo ngẫu nhiên và lạm dụng Twitter để tiết lộ hồ sơ liên quan đến thông tin liên lạc mà người dùng đã thêm vào Twitter để kích hoạt các tính năng bảo mật.
Mặc dù công ty không chắc chắn liệu lỗi này chỉ được khai thác bởi một nhóm đối thủ hay nhiều nhóm, nhưng nó đã xác định được một số tài khoản tham gia vào cuộc tấn công ở nhiều quốc gia, chủ yếu từ Iran, Israel và Malaysia.
Dựa trên địa chỉ IP của họ, Twitter tin rằng một số tài khoản khai thác lỗ hổng API có thể có mối quan hệ với các tác nhân được nhà nước bảo trợ; do đó, nó "tiết lộ điều này [sự cố] ra khỏi sự thận trọng và như một vấn đề nguyên tắc."
"Chúng tôi đã ngay lập tức đình chỉ các tài khoản này và tiết lộ chi tiết về cuộc điều tra của chúng tôi cho bạn hôm nay vì chúng tôi tin rằng điều quan trọng là bạn biết về những gì đã xảy ra và cách chúng tôi khắc phục nó". Twitter nói trong một bài đăng trên blog.
Công ty đã nhận thức được vấn đề này vào ngày 24 tháng 12 năm ngoái sau khi một nhà nghiên cứu bảo mật 'không chính thức' khai thác một lỗ hổng tương tự, hoặc tương tự, trong Twitter để kết hợp thành công gần 17 triệu số điện thoại với hồ sơ của họ.
Twitter Nói rằng trang mạng xã hội kể từ đó đã giải quyết vấn đề này và không có hành động nào được yêu cầu từ phía người dùng.
"Sau khi điều tra, chúng tôi đã ngay lập tức thực hiện một số thay đổi đối với điểm cuối này để nó không còn có thể trả lại tên tài khoản cụ thể để trả lời các truy vấn". Twitter anh nói.
Tuy nhiên, nếu bạn không biết, bạn cũng có thể ngăn bất kỳ ai tìm thấy hồ sơ của bạn dựa trên địa chỉ email hoặc số điện thoại của bạn bằng cách điều hướng đến cài đặt 'Khả năng khám phá' trong Twitter tài khoản và vô hiệu hóa nó.
