Twitter Sicherheitslücke: 17 Millionen Telefonnummern bekannt

Twitter Sicherheitslücke: 17 Millionen Telefonnummern bekannt
Twitter Sicherheitslücke: 17 Millionen Telefonnummern bekannt, Everything Smart, Fabian Geissler, Huawei P30, Copyright: Fabian Geissler / Everything Smart

Der Sicherheitsforscher Ibrahim Balic hat mit einer neuen Sicherheitslücke in Twitter 17 Millionen Telefonnummern ausfindig machen können. Unter anderem sind auch private Telefonnummern von hochrangigen Politikern bekannt geworden. Die Schwachstelle wurde in der Android App von Twitter gefunden. Um an die Telefonnummern zu kommen, nutzte Balic die Upload-Funktion von Kontakten über die App.

So funktioniert die Twitter Sicherheitslücke

Wenn man über die mobile App Telefonnummern hochlädt, bekommt man von Twitter Benutzer-Informationen zurück. Der Sicherheitsforscher hat zufällig 2 Milliarden Telefonnummern erzeugt und diese über die Android App hochgeladen. 17 Millionen Telefonnummern konnten mit dieser Methode eindeutig zu User-Accounts zugeordnet werden. Dadurch ist Balic auch an private Handynummern von hochrangigen Politikern und bekannten Persönlichkeiten gekommen.

Über einen Zeitraum von zwei Monaten hat Bali diese Methode angewendet. Er konnte dadurch an Telefonnummern von Benutzern aus Armenien, Frankreich, Deutschland, Griechenland, Iran, Israel und der Türkei kommen.

Man arbeite bereits an der Lösung des Problems – dies teilte Twitter gegenüber TechCrunch mit. Als vorübergehende Lösung hat Twitter Accounts gesperrt, die exzessiv die Upload Funktion von Kontakten verwendet haben. TechCrunch hat Auszüge aus seinem „Experiment“ erhalten und konnte in einem Fall eine Telefonnummer einem hochrangigen Israleischen Politiker zuordnen.

Twitter selbst hat bereits (schon vor Bekanntwerdern der Sicherheitslücke) einen Schutzmechanismus in die App eingebaut um den Missbrauch der Funktion zu verhindern. So ist es nicht möglich Nummern hochzuladen, welche einer chronologischen Reihenfolge entsprechen. Ibrahim Balic hat diesen Mechanismus ausgetrickst, indem er zwei Milliarden Telefonnummern mit einem Muster generiert und anschließend zufällig vermischt hat. Dadurch konnte die Upload Funktion der Android App von Twitter kein Fehlverhalten mehr feststellen. In der Webanwendung funktioniert diese Methode übrigens nicht.

Wer ist Ibrahim Balic?

Der Sicherheitsforscher ist nicht ganz unbekannt. Bereits im Jahr 2013 hat dieser eine Sicherheitslücke im Apple Developer Portal gefunden. Daraufhin war dieses rund drei Tage offline. Apple hatte im Nachhinein bestätigt, dass das Unternehmen Ziel eines Hacker-Angriffs geworden ist. Damals waren Developer Accounts betroffen und E-Mail Adressen sind entwendet geworden.

Infos zum Beitrag

Sag uns deine Meinung zum Beitrag im Kommentar! Gerne beantworten wir auch deine Fragen und helfen.

Werbung

Videos

Wird geladen...

Werbung

Klicke auf den Button um den Inhalt von rcm-eu.amazon-adsystem.com zu laden.

Inhalt laden