توییتر هشداری منتشر کرد که اعلام میکند نفوذگران از یک عملکرد قانونی در بستر آن برای یافتن شماره تلفنهای مرتبط با میلیونها حساب کاربری بهرهبردای کردند. بهگفتهی توییتر، این آسیبپذیری در یکی از واسطهای برنامهنویسی وجود دارد که با این هدف طراحی شده است که با تطبیق دادن شماره تلفنهای ذخیرهشده در مخاطبین با حسابهای توییتری، یافتن افراد آشنا در توییتر را برای کاربران تسهیل کند.
لازم به ذکر است که این ویژگی دقیقاً طبق برنامه عمل کرده است، مگر در مواردی که کسی بخواهد میلیونها شماره تلفن تولیدشده بهصورت تصادفی را بارگذاری کند و از توییتر برای افشای پروفایلهای مرتبط با اطلاعات مخاطبین کاربران اضافه شده به توییتر برای فعال کردن ویژگیهای امنیتی سوءاستفاده کند.
اگرچه این شرکت مطمئن نیست که این اشکال تنها توسط یک فرد یا چند گروه مورد بهرهبرداری قرار گرفته است، اما چند حساب استفادهشده در این حملات را شناسایی کرده است. توییتر براساس آدرسهای آیپی شناساییشده معتقد است که احتمالاً برخی از حسابهایی که از آسیبپذیری واسط برنامهنویسی بهرهبرداری کردهاند، با عاملان تحت حمایت دولت در ارتباط هستند.
توییتر در پست وبلاگی خود نوشت که بلافاصله این حسابها را به حالت تعلیق درآورده است و جزئیات تحقیقات و بررسیهای خود را به کاربران اطلاعرسانی میکند، زیرا معتقد است که کاربران باید از آنچه اتفاق افتاده است و چگونگی رفع مسائل ایجادشده اطلاع داشته باشند.
این شرکت در تاریخ ۲۴ دسامبر سال گذشته پس از آنکه یک پژوهشگر امنیتی از یک آسیبپذیری مشابه در توییتر بهرهبرداری کرد تا با موفقیت حدود ۱۷ میلیون شماره تلفن را با پروفایلهای آنها تطبیق دهد، از این مسأله مطلع شد. توییتر بیان میکند که از آن زمان به بعد این مسأله را رفع کرده است و لازم نیست هیچ اقدامی از جانب کاربران صورت گیرد.
پس از انجام تحقیقات این شرکت بلافاصله چند تغییر در این نقطهی پایانی ایجاد کردند تا دیگر در پاسخ به کوئریها نتواند نام حسابهای خاص را برگرداند. بااینحال درصورتی که کاربران از این مسأله اطلاع نداشته باشند، با رفتن به تنظیمات Discoverability در حساب توییتری خود و غیرفعال کردن آن، میتوانند دیگران را از یافتن پروفایلشان براساس آدرس ایمیل یا شماره تلفن خود منع کنند.
