Twitter: Fake-Accounts spionierten Telefonnummern aus
Unbekannte haben über eine Programmierschnittstelle (API) von Twitter Benutzernamen mit Telefonnummern abgeglichen. Das hat Twitter in seinem Blog bestätigt.
Das Unternehmen erklärte, ein großes Fake-Account-Netzwerk habe den missbräuchlichen Datenabgleich durchgeführt. Dabei seien besonders IP-Adressen aus dem Iran, Israel und Malaysia aufgefallen. Der Anbieter hält es für möglich, dass staatliche Hacker hinter den Angriffen stehen könnten. Die Funktion soll Twitter-Nutzern eigentlich dabei helfen, Freunde über ihre Telefonnummern bei dem Dienst zu finden.
Accounts, die diese Funktion ausgenutzt haben, hat Twitter inzwischen gesperrt. Zudem wurde die Programmierschnittstelle angepasst. Ein massenhafter Abgleich soll nun nicht mehr möglich sein.
Schwachstelle seit Dezember bekannt
Der Kurznachrichtendienst war am 24. Dezember 2019 durch einen Medienbericht im Online-Magazin Techcrunch auf das Problem aufmerksam geworden. Twitter hat nach eigener Aussage sofort reagiert und die Lücke geschlossen.
Zahl der Betroffenen unklar
Entdeckt wurde die Lücke von dem Sicherheitsforscher Ibrahim Balic. Laut Techcrunch war es Balic gelungen, 17 Millionen Telefonnummern Twitter-Nutzern zuzuordnen. Betroffen waren Nutzerinnen und Nutzer, die ihre Telefonnummer bei Twitter gespeichert und die Funktion “Personen, die deine Telefonnummer haben, erlauben, dich auf Twitter zu finden” eingeschaltet haben. Diese findet sich in den Kontoeinstellungen unter “Datenschutz und Sicherheit → Auffindbarkeit und Kontakte”.
Nutzerinnen und Nutzer, die diese Funktion nicht aktiviert haben oder keine Telefonnummer bei Twitter gespeichert haben, waren nicht betroffen.
Mehrere Vorfälle in der jüngeren Vergangenheit
Bereits im August 2019 hatte Twitter Nutzerdaten versehentlich an Werbekunden weitergegeben. Im Dezember 2019 wurde eine Sicherheitslücke in der Twitter-App für Android bekannt, durch die Angreifer unter anderem auf Direktnachrichten zugreifen konnten. (js)