Eine Schwachstelle in der Android Twitter-App hat einem Sicherheitsforscher ermöglicht, 17 Millionen Telefonnummern, die zur Sicherung von Twitter-Konten eingegeben wurden, abzugreifen.
Ibrahim Balic fand heraus, dass es möglich war, ganze Listen von generierten Telefonnummern über die Kontakt-Upload-Funktion von Twitter hochzuladen. „Wenn du deine Telefonnummer hochlädst, holt es sich im Gegenzug Benutzerdaten“, teilte er TechCrunch mit.
Twitter-Sperre ausgetrickst
Laut Sicherheitsforscher erlaubt die Twitter Kontakt-Upload-Funktion keine Listen mit Telefonnummern in sequentiellem Format. Der Forscher vermutet, dass das eine Art Schutz darstellen soll. Also generierte er mehr als zwei Milliarden Telefonnummern, und anschließend lud er diese Nummern dann per Zufallsgenerator über die Android-App auf Twitter hoch.
Über einen Zeitraum von zwei Monaten konnte Balic Datensätze von Nutzern aus Israel, der Türkei, dem Iran, Griechenland, Armenien, Frankreich und Deutschland zusammenführen. Er hörte auf, nachdem Twitter die Bemühungen am 20. Dezember 2019 blockierte. Wer also ein Twitter-Konto in Deutschland besitzt, sollte davon ausgehen, dass seine Telefonnummer abgegriffen werden konnte.
Balic stellte TechCrunch Muster der Telefonnummern zur Verfügung, die er abgeglichen hat. Mit Hilfe der Passwortrücksetzungsfunktion der Twitter-Webseite verifizierte Techcrunch seine Ergebnisse, indem eine zufällige Auswahl von Benutzernamen mit den angegebenen Telefonnummern verglichen wurde.
In einem Fall war TechCrunch in der Lage, einen hochrangigen israelischen Politiker anhand der übereinstimmenden Telefonnummer zu identifizieren. Obwohl er Twitter nicht auf die Sicherheitslücke aufmerksam machte, fütterte er eine Reihe Telefonnummern in eine WhatsApp-Gruppe, um hochrangige Twitter-Nutzer – darunter Politiker und Beamte – zu warnen. Die sind also offenbar nicht nur mit ihren Telefonnummern bei Twitter, sondern auch bei WhatsApp registriert. Weitere Details finden sich in diesem Artikel bei Techcrunch.