Twitter Sicherheitslücke: 17 Millionen Telefonnummern bekannt
Der Sicherheitsforscher Ibrahim Balic hat mit einer neuen Sicherheitslücke in Twitter 17 Millionen Telefonnummern ausfindig machen können. Unter anderem sind auch private Telefonnummern von hochrangigen Politikern bekannt geworden. Die Schwachstelle wurde in der Android App von Twitter gefunden. Um an die Telefonnummern zu kommen, nutzte Balic die Upload-Funktion von Kontakten über die App.
So funktioniert die Twitter Sicherheitslücke
Wenn man über die mobile App Telefonnummern hochlädt, bekommt man von Twitter Benutzer-Informationen zurück. Der Sicherheitsforscher hat zufällig 2 Milliarden Telefonnummern erzeugt und diese über die Android App hochgeladen. 17 Millionen Telefonnummern konnten mit dieser Methode eindeutig zu User-Accounts zugeordnet werden. Dadurch ist Balic auch an private Handynummern von hochrangigen Politikern und bekannten Persönlichkeiten gekommen.
Über einen Zeitraum von zwei Monaten hat Bali diese Methode angewendet. Er konnte dadurch an Telefonnummern von Benutzern aus Armenien, Frankreich, Deutschland, Griechenland, Iran, Israel und der Türkei kommen.
Man arbeite bereits an der Lösung des Problems – dies teilte Twitter gegenüber TechCrunch mit. Als vorübergehende Lösung hat Twitter Accounts gesperrt, die exzessiv die Upload Funktion von Kontakten verwendet haben. TechCrunch hat Auszüge aus seinem „Experiment“ erhalten und konnte in einem Fall eine Telefonnummer einem hochrangigen Israleischen Politiker zuordnen.
Twitter selbst hat bereits (schon vor Bekanntwerdern der Sicherheitslücke) einen Schutzmechanismus in die App eingebaut um den Missbrauch der Funktion zu verhindern. So ist es nicht möglich Nummern hochzuladen, welche einer chronologischen Reihenfolge entsprechen. Ibrahim Balic hat diesen Mechanismus ausgetrickst, indem er zwei Milliarden Telefonnummern mit einem Muster generiert und anschließend zufällig vermischt hat. Dadurch konnte die Upload Funktion der Android App von Twitter kein Fehlverhalten mehr feststellen. In der Webanwendung funktioniert diese Methode übrigens nicht.
Wer ist Ibrahim Balic?
Der Sicherheitsforscher ist nicht ganz unbekannt. Bereits im Jahr 2013 hat dieser eine Sicherheitslücke im Apple Developer Portal gefunden. Daraufhin war dieses rund drei Tage offline. Apple hatte im Nachhinein bestätigt, dass das Unternehmen Ziel eines Hacker-Angriffs geworden ist. Damals waren Developer Accounts betroffen und E-Mail Adressen sind entwendet geworden.