Представитель компании Twitter рассказал, что злоумышленники воспользовались ее API для выявления конфиденциальных данных. В итоге пострадало большое количество пользователей. Их специалист по защите информации резюме Волгоград уже сообщил, что готов сотрудничать с пользователями и помочь им восстановить безопасность.
По какой причине произошел инцидент, специалист по защите информации резюме Волгоград
Как оказалось, в неприятном инциденте был замешан специалист по защите информации собеседование Волгоград компании. Он злоупотребил официальным API Twitter для сопоставления имен пользователей социальной сети и их номеров телефонов. О том, что сотрудник превысил полномочия, стало известно в конце декабря 2020 года. Однако служба безопасности социальной сети узнала о происходящем не из внутренних источников. Более того, после публикации сторонних экспертов, которые умудрились без их ведома провести собственное расследование.
В ходе действий злоумышленника пострадало 17 миллионов аккаунтов Twitter. Узнав о проблеме, компания тут же приостановила работу социальной сети и отправку запросов к API. Как оказалось, не только специалист по защите информации средняя зарплата Волгоград использовал баг в системе. Также им злоупотребляла некая третья сторона, подробности о которой пока не разглашаются. Вполне возможно, что на Twitter напали правительственные хакерские группировки из:
- Малайзии;
- Израиля;
- Ирана.
Сама функция была довольно безобидной: она предназначалась для поиска знакомых в социальной сети. Чтобы упростить процесс поиска, пользователь разрешал доступ к списку своих телефонных контактов, после чего API отыскивало учетные записи с соотвествующими номерами телефонов и предлагало установить общение со знакомыми. Как оказалось, использовать эту функцию можно и в противозаконных целях.
Основные проблемы защиты соцсети
Конечно, найти так можно не каждого пользователя Twitter, а только тех, кто установил в профиле соответствующее разрешение. Именно эти люди и пострадали в ходе хакерской атаки. Их аккаунты рассекретили. Скорее всего, хакеры смогли составить достаточно полную базу пользователей социальной сети до того времени, пока их действия не раскрыли.
Новый специалист по информационной безопасности в банке Волгоград компании утверждает, что сейчас пользователям опасаться нечего. Разработчики исправили баг, теперь внутренние работники сервиса не могут отправить API-запрос с номером телефона и получит в виде ответа конкретную учетную запись. Но все же пользователям Twitter следует быть осторожными и проявлять повышенную бдительность в ближайшее время, чтобы не стать жертвами хакеров.