Компания Twitter сообщила о неприятном инциденте: третьи стороны злоупотребили ее официальным API, чтобы сопоставить телефонные номера пользователей с их именами в Twitter.
Специалистам компании стало известно о злоупотреблениях 24 декабря 2019 года. Интересно, что инженеры Twitter узнали о происходящем только после публикации издания TechCrunch, в которой рассказывалось о том, как ИБ-эксперт использовал API Twitter для сопоставления 17 000 000 телефонных номеров с публичными именами пользователей.
После публикации этой заметки Twitter немедленно приостановил работу большой сети фейковых учетных записей, которые использовались для отправки запросов к API. Проведенное после этого расследование выявило дополнительные доказательства того, что баг в API использовался не только упомянутым ИБ-экспертом, но и другими третьими сторонами. Кем именно были эти третьи стороны пока не раскрывается, но известно, что некоторые IP-адреса, с которых пытались злоупотреблять функциями API, могли быть связаны с правительственными хак-группами Так, в основном запросы шли из Ирана, Израиля и Малайзии.
Баг в API был связан с легитимной функцией, которая позволяет новым пользователям находить в Twitter знакомых. Проблема позволяла добавлять номера телефонов и сопоставлять их с известными учетными записями Twitter. В итоге атаки коснулись не всех пользователей, а лишь тех, кто включил в настройках опцию, разрешающую другим пользователям находить себя по номеру телефона.
В настоящее время проблема уже исправлена, и конкретные имена учетных записей в ответ на такой запрос получить нельзя.