Twitter заявил, что обнаружил и исправил проблему, используемую злоумышленниками для сопоставления определенных телефонных номеров с соответствующими учетными записями в соцсети. Компания отметила, что узнала об уязвимости 24 декабря.
В ходе расследования команда безопасности соцсети выявила учетные записи, которые использовали уязвимость в API, чтобы получить доступ к телефонным номерам аккаунтов. «Мы немедленно заблокировали эти учетные записи и раскрываем вам детали нашего расследования сегодня, потому что мы считаем, что важно, чтобы вы знали о том, что произошло, и как мы это исправили», — заявила компания.
Там подчеркнули, что некоторые из выявленных IP-адресов могут быть связаны со спонсируемыми государством субъектами. В целом, фейковые учетки выявили по всему миру, но самое большое количество запросов к уязвимому API поступало с IP-адресов в Иране, Израиле и Малайзии.
Злоумышленники работали, используя опцию «Разрешить пользователям, у которых есть ваш номер телефона, найти вас в Twitter» в настройках тех аккаунтов, которые привязывали свой номер к учетке.
«Защита конфиденциальности и безопасности людей, которые используют Twitter, является нашим приоритетом номер один, и мы по-прежнему сосредоточены на том, чтобы как можно быстрее остановить злоупотребление API Twitter. Нам очень жаль, что это произошло», — заявила соцсеть.
В декабре специалист по безопасности Ибрагим Балич заявил о найденной уязвимости в приложении Twitter для Android. Она помогла ему сопоставить 17 млн телефонных номеров с аккаунтами пользователей. По словам Балича, целые списки сгенерированных телефонных номеров можно было загрузить при помощи функции загрузки контактов в Twitter. Он сгенерировал более 2 млрд телефонных номеров один за другим и после рандомизации загрузил их через приложение. В веб-версии Twitter он не смог сделать подобное.
После этого в течение двух месяцев Баличу поступали данные пользователей из Израиля, Турции, Ирана, Греции, Армении, Франции и Германии, и только 20 декабря Twitter заблокировал его действия.
Когда специалист передал свой список контактов TechCrunch, журналисты с помощью функции сброса пароля сайта проверили информацию и смогли установить личность высокопоставленного израильского политика.
Между тем в Twitter также объявил, что намерен помечать в соцсети сообщения, которые содержат недостоверную информацию и признаки манипулирования данными. Маркировка коснется твитов, в которых есть угроза физической безопасности, риск массового насилия или массовых беспорядков, угроза неприкосновенности частной жизни или возможности свободно выражать себя, подавление или запугивание избирателей.
Пользователь перед ретвитом сможет увидеть предостережение от дальнейшего распространения недостоверной информации.
Новая политика начнет действовать с 5 марта.
Также в январе Twitter анонсировал, что введет для пользователей возможность ограничить доступ к комментированию постов. Твиты можно будет разделить на общие (Global), для группы (Group), для избранных пользователей (Panel) и «заявление» (Statement). Все четыре типа будут видны всем пользователям, однако комментарии можно будет оставить не везде. Если посты категории Global сможет прокомментировать любой пользователь, то посты для избранных пользователей смогут прокомментировать только те, кому автор это разрешит напрямую. Посты для группы смогут комментировать те, на кого автор поста подписан, а твиты категории Statement комментировать будет нельзя никому.
См. также: «Twitter ради безопасности пользователей отказывается от использования анимированных изображений APNG в новых публикациях»
