WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Lỗi Twitter bị tin tặc khai thác tìm số điện thoại liên kết của người dùng
Twitter vừa đưa ra cảnh báo về việc nhiều kẻ tấn công đã lạm dụng một chức năng hợp pháp trên nền tảng của hãng để lấy được các số điện thoại từ hàng triệu tài khoản người dùng một cách bất hợp pháp.
Theo Twitter, lỗ hổng này nằm trong một API được thiết kế giúp người dùng dễ dàng tìm kiếm những người bạn trên Twitter bằng cách khớp số điện thoại được lưu trong danh bạ của người dùng với các tài khoản Twitter.
Khai thác điều này, hacker đăng tải hàng triệu số điện thoại ngẫu nhiên nhằm tìm ra hồ sơ liên kết với thông tin liên hệ mà người dùng cập nhật lên Twitter để kích hoạt các tính năng an ninh.
Hiện Twitter vẫn chưa chắc chắn việc lỗi bị một hay nhiều nhóm hacker khai thác. Nhưng hãng đã xác định được một số tài khoản tham gia đến từ nhiều quốc gia khác nhau, trong đó chủ yếu là từ Iran, Israel và Malaysia.
Dựa vào các địa chỉ IP, Twitter nhận định một trong số các tài khoản khai thác lỗi API có liên quan đến các tác nhân được nhà nước bảo trợ.
“Chúng tôi đã ngay lập tức tạm khóa các tài khoản này và sẽ đưa ra thông tin chi tiết sau khi điều tra”, Twitter cho hay.
Thực tế, Twitter đã nắm được vấn đề từ cuối tháng 12/2019 sau khi một nhà nghiên cứu an ninh mạng khai thác một lỗ hổng tương tự trên Twitter và đã khớp thành công gần 17 triệu số điện thoại với hồ sơ của họ.
Twitter cho biết đã giải quyết xong vấn đề này.
Bạn có thể ngăn chặn việc một ai đó tìm thấy hồ sơ của mình dựa trên địa chỉ email hoặc số điện thoại bằng cách truy cập vào mục cài đặt 'Discoverability' trên tài khoản Twitter của mình và vô hiệu hóa tính năng này.
Khai thác điều này, hacker đăng tải hàng triệu số điện thoại ngẫu nhiên nhằm tìm ra hồ sơ liên kết với thông tin liên hệ mà người dùng cập nhật lên Twitter để kích hoạt các tính năng an ninh.
Hiện Twitter vẫn chưa chắc chắn việc lỗi bị một hay nhiều nhóm hacker khai thác. Nhưng hãng đã xác định được một số tài khoản tham gia đến từ nhiều quốc gia khác nhau, trong đó chủ yếu là từ Iran, Israel và Malaysia.
Dựa vào các địa chỉ IP, Twitter nhận định một trong số các tài khoản khai thác lỗi API có liên quan đến các tác nhân được nhà nước bảo trợ.
“Chúng tôi đã ngay lập tức tạm khóa các tài khoản này và sẽ đưa ra thông tin chi tiết sau khi điều tra”, Twitter cho hay.
Thực tế, Twitter đã nắm được vấn đề từ cuối tháng 12/2019 sau khi một nhà nghiên cứu an ninh mạng khai thác một lỗ hổng tương tự trên Twitter và đã khớp thành công gần 17 triệu số điện thoại với hồ sơ của họ.
Twitter cho biết đã giải quyết xong vấn đề này.
Bạn có thể ngăn chặn việc một ai đó tìm thấy hồ sơ của mình dựa trên địa chỉ email hoặc số điện thoại bằng cách truy cập vào mục cài đặt 'Discoverability' trên tài khoản Twitter của mình và vô hiệu hóa tính năng này.
Nguồn: The Hacker News