Баг в Twitter позволил сопоставить 17 млн. номеров телефонов с ID внутри соцсети
Новую уязвимость в Twitter на базе операционной системы Android обнаружил Ибрагим Балич (Ibrahim Balic). Эксплуатация бреши осуществляется через форму импорта контактов в приложение. При загрузке номера система отправляет пользовательские данные. Система запрещает загружать номера в последовательном порядке во избежание эксплуатации уязвимости.
После обнаружения данной уязвимости ИБ исследователь сгенерировал случайные 2 миллиарда телефонных номеров, в результате чего 17 миллионов из них совпало с номерами реальных владельцев учетных записей twitter. Соответственно, Ибрагиму удалось сопоставить 17 миллионов номеров реальных владельцев с их аккаунтами.
Уязвимость не распространяется на веб версию приложения Twitter. Компания пока не признала наличие бага и никак не прокомментировала уязвимость.