Twitter trên Android gặp lỗi cho phép liên kết 17 triệu tài khoản với số điện thoại

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Ứng dụng Twitter trên điện thoại Android gặp phải sự cố làm lộ số điện thoại người dùng. Từ việc khai thác lỗ hổng đó, một nhà nghiên cứu đã thành công trong việc liên kết 17 triệu số điện thoại với các tài khoản Twitter.

Lỗi ứng dụng Twitter trên hệ điều hành Android

Theo báo cáo, nhà nghiên cứu Ibrahim Balic đã phát hiện ra một lỗi trong ứng dụng Twitter trên Android. Lỗi này cho phép người dùng liên kết số điện thoại với tài khoản cá nhân mà không cần qua bước xác nhận nào.

Ibrahim Balic đã chia sẻ chi tiết với TechCrunch và tiết lộ “Nếu bạn đăng số điện thoại của mình lên Twitter, nó sẽ lấy các dữ liệu người dùng”.

Lỗi này tồn tại trong tính năng đồng bộ danh bạ lên Twitter, chấp nhận mọi danh bạ. Mặc dù không chấp nhận nhiều danh bạ ở định dạng tuần tự, nhưng nó chấp nhận một danh bạ ngẫu nhiên.

Để kiểm tra lỗi, nhà nghiên cứu đã tạo ra một danh sách ngẫu nhiên gồm hai tỷ số điện thoại, chọn một phần trong số đó và tải chúng lên Twitter thông qua ứng dụng trên Android.

Ibrahim Balic đã liên kết thành công 17 triệu số điện thoại trong khoảng thời gian hai tháng và bị Twitter chặn vào ngày 20/12/2019. Trong đó, người dùng bị ảnh hưởng chủ yếu thuộc các nước Israel, Hy Lạp, Armenia, Iran, Thổ Nhĩ Kỳ, Đức và Pháp.

Twitter giải quyết vấn đề

Thay vì thông báo cho Twitter, Ibrahim Balic cảnh báo trực tiếp cho người dùng bằng cách chia sẻ một số số điện thoại của người dùng Twitter cao cấp – bao gồm cả các chính trị gia và quan chức trong một nhóm WhatsApp.

Theo một tuyên bố của người phát ngôn cho Twitter trên TechCrunch “Khi phát hiện ra lỗi này, chúng tôi đã vô hiệu các tài khoản được sử dụng để truy cập trái phép thông tin cá nhân của mọi người. Bảo vệ quyền riêng tư và an toàn của những người sử dụng là ưu tiên số một của Twitter và chúng tôi vẫn tập trung vào việc nhanh chóng ngăn chặn thư rác và lừa đảo bắt nguồn từ việc sử dụng Twitter APIs”.

Gần đây, Twitter cũng đã tiết lộ về một lỗ hổng cho phép kẻ tấn công chiếm quyền kiểm soát tài khoản của người dùng. Mặc dù thông báo trước đó và thông báo lần này khá gần nhau, chúng dường như không liên quan đến nhau. Nếu xem xét kĩ về bản chất và cách khai thác từ lỗ hổng, 2 lỗi này thật sự khác biệt.

>> Twitter thừa nhận sử dụng email và SĐT của người dùng để phân phối quảng cáo