فعال بودن تنظیمات پیش فرض “phone number discoverability” در توئیتر، حسابتان را تحت تاثیر باگ “تطبیق شماره تلفن با حساب کاربری” قرار میدهد.
به گزارش کالاسودا و به نقل از thenextweb، به تازگی توئیتر یک باگ در سیستم مدیریت شماره تلفن حسابهای خود فاش کرده است که از طریق تطابق شماره تلفن با حسابها میتوان به حسابهای کاربری مورد نظر دست یافت.
در این اطلاعیه اعلام شد که “شبکه بزرگی از حسابهای جعلی” مسئول بارگذاری لیست شماره تلفنها و سپس استفاده از API شخصی توییتر برای مطابقت با نامهای کاربری شخصی بوده است.
طبق اعلام بنیاد مرز الکترونیکی، به اختصار EFF این دقیقاً همان نوع فعالیتی است که برای ایجاد ابزارهای جستجوی معکوس استفاده میشود: انواع سرویسهایی که کاربران خاص یا حسابهای آنها را با یک شماره تلفن تصادفی مطابقت میدهد.
توئیتر، فیس بوک و سایر شبکههای اجتماعی همه این گزینهها را برای بارگذاری لیست مخاطبین خود در برنامه برای ارتباط با سایر کاربران ارائه میدهند.
API هایی که برای پشتیبانی از این نوع بارگذاریها استفاده میشوند، اغلب حاوی محدودیتهایی برای جلوگیری از سوء استفاده هکرها هستند. اما تقریباً همیشه یک راه حل برای دور زدن این محدودیتها وجود دارد.
در مورد توییتر، یکی از محدودیتهای API موجود محدودیت برای بار گذاری لیستی از شماره تلفنهای متوالی است و نشان میدهد که کاربر قصد یافتن مخاطب خاص خود را ندارد.
اما محققان امنیتی که مشکل توئیتر را کشف کردند، یک راه حل کاملاً ساده پیدا کردند: اطلاعات بارگذاری شده را برای جلوگیری از رشتههای متوالی اعداد؛ به صورت رندوم وارد کنید. این امر به آنها این امکان را میدهد برای بیش از 17 میلیون کاربر توئیتر، از جمله افراد مشهور و مقامات رسمی، شماره تلفنها را با نام کاربری مطابقت دهند.
به نظر میرسد تاکنون این مشکل فقط روی حسابهای توئیتری تأثیر گذاشته که شماره تلفن همراه خود را در کنار حسابشان استفاده کردهاند و “قابلیت کشف شماره تلفن” را در تنظیمات خود فعال نمودهاند.
طبق توئیتر، سوء استفاده از این باگ در API از آدرسهای IP در ایران، اسرائیل و مالزی سرچشمه گرفته است. سخنگوی این کمپانی نوشت: “این امکان وجود دارد که برخی از این آدرسهای IP تحت حمایت دولت باشند.”
لینک کوتاه: