Meldungen

„Aktuelle Meldungen rund um Posteo: Neuigkeiten, Entwicklungen, Hintergrundinfos, Medienbeiträge über Posteo - das ganze Spektrum.“

Meldungen

Twitter: Fake-Accounts spionierten Telefonnummern aus

Erstellt am 05.Februar 2020, 17:00 Uhr | Kategorie: News

Angreifer konnten durch eine Sicherheitslücke beim Kurznachrichtendienst Twitter dort hinterlegte Telefonnummern mit Nutzernamen abgleichen. Twitter hat das Problem mittlerweile behoben.

Twitter
Twitter hat die Angriffe auf seine Programmierschnittstelle inzwischen analysiert. Quelle: Twitter

Unbekannte haben über eine Programmierschnittstelle (API) von Twitter Benutzernamen mit Telefonnummern abgeglichen. Das hat Twitter in seinem Blog bestätigt.

Das Unternehmen erklärte, ein großes Fake-Account-Netzwerk habe den missbräuchlichen Datenabgleich durchgeführt. Dabei seien besonders IP-Adressen aus dem Iran, Israel und Malaysia aufgefallen. Der Anbieter hält es für möglich, dass staatliche Hacker hinter den Angriffen stehen könnten. Die Funktion soll Twitter-Nutzern eigentlich dabei helfen, Freunde über ihre Telefonnummern bei dem Dienst zu finden.

Accounts, die diese Funktion ausgenutzt haben, hat Twitter inzwischen gesperrt. Zudem wurde die Programmierschnittstelle angepasst. Ein massenhafter Abgleich soll nun nicht mehr möglich sein.

Schwachstelle seit Dezember bekannt

Der Kurznachrichtendienst war am 24. Dezember 2019 durch einen Medienbericht im Online-Magazin Techcrunch auf das Problem aufmerksam geworden. Twitter hat nach eigener Aussage sofort reagiert und die Lücke geschlossen.

Twitter-Einstellung
Nutzerinnen und Nutzer, die sich nicht über ihre Telefonnummer auf Twitter finden lassen, waren nicht betroffen. Screenshot: Posteo

Zahl der Betroffenen unklar

Entdeckt wurde die Lücke von dem Sicherheitsforscher Ibrahim Balic. Laut Techcrunch war es Balic gelungen, 17 Millionen Telefonnummern Twitter-Nutzern zuzuordnen. Betroffen waren Nutzerinnen und Nutzer, die ihre Telefonnummer bei Twitter gespeichert und die Funktion “Personen, die deine Telefonnummer haben, erlauben, dich auf Twitter zu finden” eingeschaltet haben. Diese findet sich in den Kontoeinstellungen unter “Datenschutz und Sicherheit → Auffindbarkeit und Kontakte”.

Nutzerinnen und Nutzer, die diese Funktion nicht aktiviert haben oder keine Telefonnummer bei Twitter gespeichert haben, waren nicht betroffen.

Mehrere Vorfälle in der jüngeren Vergangenheit

Bereits im August 2019 hatte Twitter Nutzerdaten versehentlich an Werbekunden weitergegeben. Im Dezember 2019 wurde eine Sicherheitslücke in der Twitter-App für Android bekannt, durch die Angreifer unter anderem auf Direktnachrichten zugreifen konnten. (js)