Mobile Security

Sicherheitslücke in Twitters API

Durch die missbräuchliche Verwendung einer API von Twitter konnten Unbekannte Telefonnummern und Nutzernamen einsehen

Twitter hat einen Missbrauchsfall öffentlich gemacht, in dem Unbekannte massenhaft Nutzernamen sowie Telefonnummern miteinander verknüpfen und einsehen konnten. Dafür nutzten sie die API, die eigentlich dafür eingerichtet wurde, Freunde auf der Plattform zu finden. Der Zugang soll inzwischen gesperrt und die betrügerischen Konten gelöscht sein.

Um die Lücke zu testen, habe der Software-Entwickler und Sicherheitsspezialist Ibrahim Balic Telefonnummern generiert und über die Android-App hochgeladen. So soll er an die zugehörigen Nutzernamen gekommen sein. Für Twitter war dieser Bericht der Anlass, um die API zu untersuchen. Dabei stellte sich nicht nur heraus, dass es die Möglichkeit gab, Verbindungen einzusehen, sondern auch, dass besonders viele Zugriffe über die Sicherheitslücke von Fake-Accounts mit IP-Adressen aus dem Iran, Israel und Malaysia kamen, was Twitter dazu veranlasst, von staatlicher Spionage auszugehen.

Private Informationen öffentlich

Ebenfalls im Dezember machte Twitter öffentlich, dass Hacker aufgrund einer anderen Sicherheitslücke in der Android-App private Informationen wie Direktnachrichten einsehen konnten. Die Lücke machte es möglich, Code einzuschleusen, der die Daten ausgelesen hat. Kurz zuvor hatte das soziale Netzwerk laut eigener Aussage aus Versehen Telefonnummern und E-Mail-Adressen zum Abgleich für Werbekunden freigegeben.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben