- قال باحث أمني يدعى إبراهيم باليتش إنه وجد ثغرة أمنية في تطبيق تويتر على أندرويد
- إذا قمت بتنزيل رقم هاتفك ، فسوف يعطيك تويتر بيانات المستخدم في المقابل
- لم ينبه Balic تويتر إلى وجود هذه الثغرة الأمنية
- إن الخلل قد سمح لشخص سيء برؤية معلومات خاصة
قال باحث أمني يدعى إبراهيم باليتش “Ibrahim Balic” لـ TechCrunch إنه وجد ثغرة أمنية في تطبيق تويتر على أندرويد. هذا الخلل، الذي استغله، مكّنه من ربط 17 مليون رقم هاتفي بحسابات المستخدمين، وفقًا لتقرير TechCrunch يوم الثلاثاء 24 ديسمبر 2019.
وفقًا لإبراهيم، كان من الممكن تنزيل قوائم كاملة من أرقام الهواتف التي تم إنشاؤها من وظيفة تنزيل جهات اتصال تويتر (تُستخدم الوظيفة من حيث المبدأ للعثور على جهات اتصال في دفتر العناوين على تويتر باستخدام أرقامهم لهاتفية). حتى أنه ينص على أنه “إذا قمت بتنزيل رقم هاتفك، فسوف يعطيك تويتر بيانات المستخدم في المقابل.“
لمدة شهرين، ادعي باليتش أنه تمكن من مطابقة أرقام الهواتف مع حسابات المستخدمين في إسرائيل وتركيا وإيران واليونان وأرمينيا وفرنسا وألمانيا حتى قام تويتر أخيرًا بحظر نشاطه يوم الجمعة 20 ديسمبر 2019.
تمكن الباحث من تحديد 17 مليون حساب مستخدم :
على ما يبدو، لا تقبل ميزة تحميل جهات اتصال تويتر قوائم أرقام هواتف متسلسلة. وفقًا للباحث، ربما تكون هذه طريقة أنشأتها الشبكة الاجتماعية لمنع هذا النوع من المطابقة المتعددة.
ومع ذلك، عندما أرسل الباحث قوائم بأكثر من ملياري رقم هاتف تم إنشاؤها عشوائيًا بدون أي ترتيب إلى تويتر، كان قادرًا على معرفة هوية 17 مليون حساب منهم، لأن هذه الأرقام الـ 17 مليون موجودة بالفعل في تويتر.
يتعرض تويتر لعدة نقاط ضعف أمنية هذه الأيام :
كما قدم الباحث عينة من أرقام الهواتف إلى TechCrunch. من بين أشياء أخرى، تمكن الموقع من التعرف على سياسي إسرائيلي و رقم هاتفه.
ومع ذلك، لم ينبه باليتش تويتر إلى وجود هذه الثغرة الأمنية. بدلاً من ذلك، أبلغ عن العديد من أرقام هواتف المستخدمين المؤثرين على تويتر، مثل السياسيين والمسؤولين، في مجموعة واتساب لتحذير المستخدمين المهمين مباشرةً.
تأتي هذه الحالة على هامش فشل أمان آخر على تويتر، لم يؤكد موقع تويتر رسميًا وجود هذا الخطأ الذي اكتشفه الباحث. غير أن الشبكة الاجتماعية قالت في مدونتها إنه قد تم تصحيح ثغرة أمنية كبيرة في تطبيق أندرويد، حيث قالت عنه في منشور ” إن الخلل قد سمح لشخص سيء برؤية معلومات خاصة أو السيطرة على حسابات المستخدمين ”.
ومع ذلك، قال متحدث باسم تويتر أن الشبكة الاجتماعية تحاول “ضمان عدم إمكانية استغلال هذا الخطأ مرة أخرى” ، و أوضحت أيضًا أنها قد أرسلت بريدًا إلكترونيًا إلى المستخدمين الذين من المحتمل أن يكونوا قد تأثروا بهذا الخطأ، موضحة لهم الإجراءات الواجب اتباعها لتأمين حسابهم.
إقرأ أيضاً : ثغرة أمنية zero-day موجود على عدة هواتف ذكية
إقرأ أيضاً : فيديو خطير حول أحدث عيوب أندرويد
