Anzeige

Twitter

Quelle: Christian Bertrand / Shutterstock.com

Eine Programmierschnittstelle (API) auf Twitter, die mittels Telefonnummer das Auffinden von Bekannten erleichtern soll, wies eine schwere Sicherheitslücke auf. Dies hat es laut Unternehmen "jemandem, der eine große Zahl Fake-Accounts genutzt hat" ermöglicht, Nutzernamen mit Telefonnummern in Verbindung zu bringen und so die Anonymität auszuhebeln.

Besonders viele Zugriffe seien von IP-Adressen in Iran, Israel und Malaysia erfolgt, was auf staatliche Spionage hindeuten könnte. Entdeckt wurde die mittlerweile geschlossene API-Lücke am 24. Dezember.

Fremde statt Freunde

Twitter bietet Usern die Möglichkeit, es zu erlauben, dass Freunde und Bekannte sie einfach über ihre Telefonnummer auf dem Kurznachrichtendienst finden. Das kann besonders Neunutzern helfen, ihr Kontaktnetzwerk auch auf Twitter zu knüpfen. Doch die API, die eben das möglich macht, hatte Twitter zufolge eine Schwachstelle. Dadurch war es völlig Fremden möglich, mithilfe von Fake-Accounts durch Eingabe von Telefonnummern dazugehörige Nutzernamen herauszufinden - was letztlich die Anonymität von Accounts aushebeln kann. Eine Telefonnummer ist immerhin viel eher einer realen Person zuzuordnen als ein Twitter-Handle.

Twitter zufolge waren Accounts aus diversen Ländern an entsprechenden Aktivitäten beteiligt, mit einer auffallenden Häufung in Iran, Israel und Malaysia. Es sei möglich, dass hier eine Verbindung zu staatlichen Akteuren bestehe - gerade für potenziell betroffene Nutzer in eher totalitären Staaten eine beunruhigende Vorstellung. Twitter betont nun, dass alle Accounts, die diese Lücke ausgenutzt haben, gesperrt wurden und man schnellstmöglich Änderungen an der API vorgenommen habe, um weiteren Missbrauch zu verhindern.

Weihnachts-Debakel

Auf den Missbrauch der Schwachstelle aufmerksam wurde Twitter nach eigenen Angaben am Heiligabend. An diesem Tag hatte "TechCrunch" darüber berichtet, dass der türkische Sicherheitsspezialist Ibrahim Balic via Android-App 17 Mio. Telefonnummern Twitter-Accounts zuordnen konnte. Es scheint nun, dass Twitters darauffolgende Untersuchung das grundlegende Problem mit der API gefunden sowie das aktive Ausnutzen der Lücke durch andere Akteure aufgedeckt hat.

www.pressetext.com
 


Weitere Artikel

Smishing

«Smishing»: Betrugs-SMS machen Verbrauchern zu schaffen

Es klingt nach guten Nachrichten: «Vielen Dank!», heißt es in einer SMS. «Ihr Termin ist bestätigt.» Über einen mitgeschickten Link soll es möglich sein, die Sendung zu verfolgen.
ebay

Mit eBay fing alles an

Seit 1995 gibt es eBay. Das Unternehmen ist gewissermaßen die Mutter aller Online-Marktplätze.
e-commerce

E-Commerce in DACH übertrifft erstmals 100 Mrd. Euro

In Deutschland, Österreich und der Schweiz (DACH) hat der Gesamtumsatz des E-Commerce 2020 laut Daten des Bundesverband E-Commerce und Versandhandel Deutschland (bevh), des Handelsverband - Verband österreichischer Handelsunternehmen sowie des…
Google Chrome

Chrome dominiert den Browsermarkt

Der Internet Explorer war mal die unangefochtene Nummer 1 unter den Browsern. Das ist mittlerweile aber eine ganze Weile her.
Handschlag

Hyland übernimmt Nuxeo

Hyland, ein Anbieter von Content Services, hat die Übernahme von Nuxeo, einem Anbieter von Content-Services-Plattformen und Digital Asset Management (DAM), abgeschlossen.
Phishing

Phishing-Attacke in NRW auch gegen ehemalige Politiker

Bei einem Angriff mit sogenannten «Phishing-E-Mails» sind in NRW Ende März auch zwei ehemalige Politiker von unbekannten Hackern ins Visier genommen worden.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.