» »

Twitterjev hrošč omogočal pridobivanje osebnih podatkov prek telefonskih številk

Twitterjev hrošč omogočal pridobivanje osebnih podatkov prek telefonskih številk

vir: Pxfuel

vir: TechCrunch
TechCrunch - Turški varnostni raziskovalec Ibrahim Balic je s pomočjo hrošča v Twitterjevi aplikaciji za Android uspešno povezal 17 milijonov telefonskih številk s pripadajočimi uporabniki. To mu je omogočila napaka v funkcionalnosti za nalaganje stikov, ki po vpisu telefonske številke vrne podatke o uporabniku. Ker aplikacija ne omogoča zaporednega nalaganja številk, je za svoj podvig uporabil več sto lažnih uporabniških računov.

Balic je tako naložil več kot dve milijardi naključno generiranih telefonskih številk in v dveh mesecih (20. decembra je Twitter prekinil njegovo početje) uspel pridobiti podatke o milijonih posameznikih iz več držav. Vzorec podatkov je posredoval tudi novinarjem, ki so jih preverili s pomočjo funkcije za ponastavitev Twitterjevega gesla in spotoma na ta način uspeli identificirati tudi nekega visokega izraelskega politika.

Balic je z odkritjem ravnal precej neeetično, o svoji najdbi je obvestil nekaj neposredno prizadetih uporabnikov, ne pa tudi Twitterja samega. So pa od tam na medijska poizvedovanja odgovorili, da napako že odpravljajo. Podjetje se je sicer v zadnjem času zapletlo v nekaj zasebnostnih incidentov, tako so nedavno priznali, da so "po nesreči" delili lokacijske podatke uporabnikov s svojimi partnerji ter da so telefonske številke, pridobljene za dvostopenjsko avtentikacijo, uporabljali tudi za nadlegovanje uporabnikov s ciljanimi oglasi.

5 komentarjev

Glugy ::

" da napako že odpravljajo"
da "napako" pripravljajo na boljše skrivanje pred javnostjo.

MrStein ::

so telefonske številke, pridobljene za dvostopenjsko avtentikacijo, uporabljali tudi za nadlegovanje uporabnikov s ciljanimi oglasi.

No ja, v Sloveniji direktno kličejo ljudi, pa niti članka o tem ne napišejo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Afo ::

Balic je z odkritjem ravnal precej neeetično, o svoji najdbi je obvestil nekaj neposredno prizadetih uporabnikov, ne pa tudi Twitterja samega.

Kdo to pravi? Malo mi gredo že na jetra, ta doma sestavljena "spodobi se in pravično je" pravilca, ki definirajo kaj kdo mora in česa ne sme. Za take stvari imamo zakonodajo. Torej: kdo zapoveduje da se najprej obvesti Twitter? Bil bi hvaležen če kdo ve o kakšni zakonodaji ki neposredno zapoveduje da se mora informacija o ranljivosti najprej posredovati skrbniku programske opreme. Sicer je govoriti o etičnosti ravno tako, kot če tu začnemo natolcevati o etičnosti dolžine prve kikle ki gre mimo po pločniku... super debata. Neumna. Ampak super.
Ranljivosti ni izkoristil za svoj zaslužek, obvestil je nekaj posameznikov in novinarje, posredno so o tem izvedeli tudi pri Twitterju... bolje kot sploh ne vedeti in ranljivost pustiti v naravi, da lepo še naprej dela škodo.
Bolje biti mlad in neumen, kot samo neumen!

Matthai ::

MrStein je izjavil:

so telefonske številke, pridobljene za dvostopenjsko avtentikacijo, uporabljali tudi za nadlegovanje uporabnikov s ciljanimi oglasi.

No ja, v Sloveniji direktno kličejo ljudi, pa niti članka o tem ne napišejo.

Lahko bolj konkretno o tem?
All those moments will be lost in time, like tears in rain...
Time to die.

MrStein ::

Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Twitterjev hrošč omogočal pridobivanje osebnih podatkov prek telefonskih številk

Oddelek: Novice / Zasebnost
51855 (750) MrStein
»

Twitter je telefonske številke za dvostopenjsko avtentikacijo uporabljal za oglaševan

Oddelek: Novice / Zasebnost
373482 (1949) SeMiNeSanja
»

Ustavno sodišče zadržalo izvrševanje zakonske podlage za IMSI lovilce (strani: 1 2 )

Oddelek: Novice / NWO
544836 (3012) dronyx
»

SMS spam +386 70 387 970

Oddelek: Loža
315735 (4256) gusto

Več podobnih tem