»

Twitterjev hrošč omogočal pridobivanje osebnih podatkov prek telefonskih številk

vir: Pxfuel

vir: TechCrunch
TechCrunch - Turški varnostni raziskovalec Ibrahim Balic je s pomočjo hrošča v Twitterjevi aplikaciji za Android uspešno povezal 17 milijonov telefonskih številk s pripadajočimi uporabniki. To mu je omogočila napaka v funkcionalnosti za nalaganje stikov, ki po vpisu telefonske številke vrne podatke o uporabniku. Ker aplikacija ne omogoča zaporednega nalaganja številk, je za svoj podvig uporabil več sto lažnih uporabniških računov.

Balic je tako naložil več kot dve milijardi naključno generiranih telefonskih številk in v dveh mesecih (20. decembra je Twitter prekinil njegovo početje) uspel pridobiti podatke o milijonih posameznikih iz več držav. Vzorec podatkov je posredoval tudi novinarjem, ki so jih preverili s pomočjo funkcije za ponastavitev Twitterjevega gesla in spotoma na ta način uspeli identificirati tudi nekega visokega izraelskega politika.

Balic je z odkritjem ravnal precej neeetično, o svoji najdbi je obvestil nekaj neposredno prizadetih uporabnikov, ne pa tudi Twitterja samega....

5 komentarjev

Twitter je telefonske številke za dvostopenjsko avtentikacijo uporabljal za oglaševanje

Slo-Tech - Iz Twitterja so sporočili, da so telefonske številke in elektronske naslove uporabnikov, ki so jih ti zaupali za postopke preverjanja pristnosti, nekaj časa po pomoti uporabljali tudi v oglaševalske namene. Napako naj bi prejšnji mesec že odpravili.

Podrobneje: šlo je za primerjanje seznamov številk in naslovov uporabnikov s seznami, ki jih imajo oglaševalci v Twitterjevih sistemih Tailored Audiences in Partner Audiences. Kako je do tega lahko prišlo in kdo točneje je za to odgovoren, v firmi niso želeli pojasniti; prav tako ne, koliko uporabnikov je bilo oškodovanih in kako dolgo se je ta nepravilnost vlekla. Pravijo pa, da so luknjo 17. septembra zakrpali.

To je sicer le še eden v vrsti takšnih pripetljajev, saj so lani pri podobni praksi ujeli tudi Facebook (plačljiv vir). Toda najnovejša nerodnost še posebej izpostavlja nerazumno Twitterjevo prakso obveznega zahtevka po uporabnikovi telefonski številki v primeru rabe dvostopenjske avtentikacije: navesti jo je treba tudi, če...

37 komentarjev

Hekerji vdrli v več sto računov na Instagramu

Slo-Tech - V zadnjih dneh je več sto uporabnikov Instagrama ugotovilo, da so jim hekerji vdrli v račun, a pri tem niso povzročili večje škode. Spremenili so jim uporabniška imena in profilne fotografije, poleg tega pa so zamenjali tudi elektronske naslove in telefonske številke, da so otežili prevzem računov. Po drugi strani pa niso izbrisali nobenih fotografij ali dodali novih.

Primerov je več, nekateri so se javili na Twitterju, drugi so odprli tudi teme na Redditu. Na Talkwalkerju so zaznali 5000 tvitov o vdoru, ki jih je objavilo 899 računov na Twitterju, kar priča o več sto, potencialno pa več tisoč vdorih. Instagram, ki ima več kot...

20 komentarjev

Twitter za vsak zaslužen dolar zapravil dva

Ars Technica - Redko se zgodi, da investitorji katero delnico tako zbrcajo, kot so to danes storili s Twitterjevo, če ni podjetje ravno objavilo napovedi bankrota. Delnica podjetja Twitter je današnje trgovanje začela 22 odstotkov niže od včerajšnjega zaključnega tečaja. Z borze je torej delničarjem Twitterja izpuhtelo v 24 urah deset milijard dolarjev.

Borza ima seveda kratek spomin, zato povejmo, da je bila prodajna cena delnic Twitterja v novembrski javni ponudbi 26 dolarjev, trgovanje pa se je potem začelo pri 46 dolarjih. Včeraj je Twitter končal pri 66 dolarjih, danes pa se je sedel na približno 50 dolarjev. Kdor je torej sodeloval v javni ponudbi, je še vedno globoko v plusu. A današnji masaker je posledica Twitterjevega

6 komentarjev

Ranljivost v Facebooku omogočala zbiranje telefonskih številk

TheNextWeb - Suriya Prakash je pred dobrim mesecem dni ugotovil, kako lahko na Facebooku s preprosto skripto pobere telefonske številke vseh prijateljev in še koga drugega, ne da bi ti to sploh vedeli ali (hoté) dovolili. Prakas trdi, da je bilo ogroženih 98 odstotkov uporabnikov mobilnega Facebooka. Svoje ocene sicer ni utemeljil, je pa pokazal veliko število zbranih številk.

Napad gre približno takole. Facebook ima funkcijo Najdi prijatelje, ki omogoča iskanje uporabnikov Facebooka, ki jih imamo med svojimi kontakti (npr. v telefonskem imeniku), ne pa še med prijatelji na Facebooku. V tem primeru aplikacija primerja telefonske številke v mobilnem telefonu z objavljenimi številkami v Facebookovih profilih in javi zadetke. Kaj pa če bi v imenik naložili nepregledno množico vseh možnih telefonskih številk? Prakash je ugotovil, da v tem...

5 komentarjev

Amy Winehouse in Oslo odlični pretvezi za spletne prevarante

Sophos - Kot je to v navadi po vsaki večji katastrofi ali medijsko odmevnem dogodku, so nepridipravi že izkoristili popularnost za širjenje zlobne programske opreme in zbiranja denarja po internetu. V zadnjih dneh so imeli obilico dela, saj so se morali odzvati na bombni napad in streljanje v Oslu in sumljivo smrt Amy Winehouse.

Zaradi svoje razširjenosti je vektor napada mnogokrat Facebook. Na njem so se le nekaj ur po smrti Amy Winehouse znašle povezave na domnevni videoposnetek zadete Amy nekaj ur pred smrtjo, posnetek njene smrti, zabave dan pred tem ipd., ki so vsi lažni. Povezave vodijo do spletnih anket (online surveys), prek katerih zlikovci poizkušajo pridobiti čim več podatkov o uporabniku. Če jim uspe dobiti telefonsko številko, je uporabnik prijavljen na prejemanje plačljivih komercialnih sporočil, pa tudi sicer dobijo provizijo od oglaševalcev za vsako izpolnjeno...

6 komentarjev