Twitter vừa đưa ra cảnh báo về việc kẻ xấu lợi dụng một tính năng của mạng xã hội này để lấy cắp số điện thoại của hàng triệu người dùng tài khoản.
Theo Twitter, lỗ hổng này nằm trong một API được thiết kế để giúp người dùng dễ dàng tìm thấy người quen bằng cách đồng bộ danh bạ với tài khoản Twitter.
Điều đáng chú ý là tính năng này hoạt động vượt qua những gì được dự tính lúc đầu. Kẻ xấu có thể đồng bộ danh bạ với hàng triệu số điện thoại được tạo ngẫu nhiên và lợi dụng Twitter để lấy các hồ sơ, thông tin liên hệ mà người dùng đã thêm vào khi bật các tính năng bảo mật.
Phía Twitter không rõ liệu lỗi này đã bị khai thác bởi một hay nhiều nhóm, nhưng công ty đã xác định được một số tài khoản khả nghi ở nhiều quốc gia, phần lớn từ Iran, Israel và Malaysia.
Dựa trên địa chỉ IP của kẻ tấn công, Twitter tin rằng một số tài khoản đó có thể liên quan tới các hacker được tài trợ bởi chính phủ; vì thế “khi tiết lộ sự cố này, cần thận trọng và tuân thủ nguyên tắc.”
Trên Blog của mình, Twitter chia sẻ “Chúng tôi đã ngay lập tức vô hiệu các tài khoản này và thông báo chi tiết về cuộc điều tra cho mọi người vì chúng tôi tin rằng điều quan trọng nhất là mọi người dùng sẽ được biết về những gì đã xảy ra và cách chúng tôi giải quyết vấn đề”.
Công ty đã nhận ra vấn đề này vào ngày 24/12 năm ngoái sau khi một nhà nghiên cứu bảo mật ‘không chính thức’ khai thác một lỗ hổng tương tự trên Twitter và khớp thành công gần 17 triệu số điện thoại với hồ sơ người dùng.
Mạng xã hội này cho biết họ đã giải quyết vấn đề và không có khiếu nại nào từ phía người dùng.
Twitter cho biết “Sau khi điều tra, chúng tôi đã ngay lập tức thực hiện một số thay đổi tính năng để không còn việc hiển thị tài khoản người dùng khi tìm bằng số điện thoại.
Bạn cũng có thể ngăn chặn việc tài khoản bị tìm thấy qua địa chỉ email hoặc số điện thoại bằng cách vào cài đặt ‘Discoverability’ (Khả năng có thể tìm thấy và danh bạ) và vô hiệu hóa tính năng này.
Quỳnh Thảo, theo THN
Bài gốc: https://thehackernews.com/2020/02/find-twitter-phone-number.html