De Android-versie van de Twitter-app heeft een kwetsbaarheid waardoor willekeurige telefoonnummers geüpload kunnen worden, waarna ze door de dienst gematcht worden met gebruikers. Wie genoeg nummers invoert, krijgt vanzelf de nummers van belangrijke personen.

Securityresearcher Ibrahim Blaic probeerde aanvankelijk een sequentiële set nummers te uploaden bij Twitter, maar daar was het systeem al op voorbereid. Een randomized set van twee miljard gegenereerde telefoonnummers kreeg hij er echter wel doorheen. Het resultaat was 17 miljoen matches tussen telefoonnummer en Twitter-account. Balic zou de kwetsbaarheid niet gemeld hebben aan Twitter en de onderzoeker's Twitter-account is intussen geschorst.

In een reactie tegenover TechCrunch zegt Twitter dat het "werkt om ervoor te zorgen dat deze bug niet opnieuw uitgebuit kan worden". Dat was op Kerstavond, dus het lijkt erop dat de bug nog steeds aanwezig is. Het is nog de vraag hoe Twitter dit precies oplost, aangezien niet aan te tonen is of een telefoonnummer echt is of uit de lucht gegrepen is door een kwaadwillende.

Alles bij de bron; Tweakers


 


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha