تويتر تصلح ثغرة بتطبيقها
أعلنت شركة تويتر أنها تمكنت من تحديد وإغلاق شبكة كبيرة من الحسابات المزيفة، إضافة إلى العديد من الحسابات الأخرى الموجودة في مجموعة واسعة من البلدان، والتي أساءت بشكل جماعي استخدام ميزة تتيح لها مطابقة أرقام الهواتف مع حسابات المستخدمين.
في التفاصيل، قالت الشركة إنها اكتشف محاولات من جهات فاعلة مرتبطة بالدولة للوصول إلى أرقام الهواتف المرتبطة بحسابات المستخدمين، بعد أن اكتشف باحث أمني ثغرة في ميزة تحميل جهات الاتصال الخاصة بالشركة.
وفي بيان نشر على مدونتها الخاصة بالخصوصية، أوضحت المنصة أنها حددت كمية كبيرة من الطلبات لاستخدام الميزة قادمة من عناوين بروتوكول الإنترنت في إيران وماليزيا، وقد يكون لبعض عناوين بروتوكول الإنترنت هذه روابط مع الجهات الفاعلة التي ترعاها الدولة.
كما رفضت متحدثة باسم الشركة تحديد عدد أرقام هواتف المستخدمين التي تعرضت للخطر، قائلة: إن تويتر لم تتمكن من تحديد جميع الحسابات التي ربما تكون قد تأثرت، وإن المنصة تشتبه بوجود صلة محتملة مع الممثلين المدعومين من الدولة لأن المهاجمين في إيران على ما يبدو لديهم وصول غير مقيد إلى تويتر، بالرغم من أن الشبكة محظورة هناك.
سوء استخدام
وكان موقع TechCrunch قد أبلغ سابقًا عن المشكلة نفسها في 24 ديسمبر، وهو اليوم الذي تقول فيه تويتر إنها أصبحت على علم بحدوث سوء الاستخدام للميزة.
بدوره كشف الباحث الأمني إبراهيم باليتش Ibrahim Balic وجود خطأ في تطبيق تويتر على أندرويد يتيح له إدخال الملايين من أرقام الهواتف من خلال واجهة برمجة تطبيقات رسومية، والتي تجلب حساب المستخدم المرتبط بهذا الرقم، موضحًا أنه تمكن من مطابقة 17 مليون رقم هاتف مع حسابات مستخدمين معينة على تويتر.
الميزة معطلة
وتهدف هذه الميزة، في حال تمكينها، إلى السماح للأصدقاء الذين لديهم رقمك بالبحث عن حسابك في تويتر، لكن من الواضح أن إدخال ملايين الأرقام يتجاوز حالة الاستخدام المقصودة.
وتعد هذه الميزة معطلة بشكل افتراضي للمستخدمين في الاتحاد الأوروبي حيث توجد قواعد خصوصية صارمة، لكنها تعمل بشكل افتراضي بالنسبة لجميع المستخدمين الآخرين على مستوى العالم، لذا، إذا كان لديك رقم هاتف مرتبط بحسابك، فربما تكون قد تأثرت.
إلى ذلك قالت تويتر في بيانها إنها غيرت الميزة بحيث لم تعد تكشف عن أسماء حسابات محددة استجابةً للطلبات، كما أوقفت أي حسابات يعتقد أنها كانت تسيء استخدام الأداة، ومع ذلك، فإن الشركة لا ترسل تنبيهات فردية إلى المستخدمين الذين تم الوصول إلى أرقام هواتفهم في تسريب البيانات.