Einem Softwareentwickler aus London ist es gelungen 17 Millionen Telefonnummern mit Benutzerkonten abzugleichen und hat dazu eine Schwachstelle in der Twitter App [Android] genutzt. Die Art der Datenlücke ist erschreckend, da es eigentlich völlig simple war diesen Abgleich durchzuführen.

Über die Kontakt-Upload-Funktion hat Ibrahim Balic einfach generierte Telefonnummern hochgeladen und Twitter die Rufnummern mit Benutzer Accounts abgleichen lassen. Twitter gibt jedem Nutzer die Möglichkeit sein Telefonbuch mit der Twitter Datenbank abzugleichen um so zu sehen, ob Familie und Freunde ebenfalls bei Twitter sind. So funktioniert die Vernetzung untereinander noch schneller.

Über 2 Milliarden Rufnummern abgeglichen

In dem Fall war das Telefonbuch etwas größer und es wurde rund 2 Milliarden generierte Rufnummern eingespielt und Twitter lieferte prompt die Ergebnisse. Die meisten Benutzeraccounts kamen aus Deutschland, Armenien, Iran, Frankreich, Türkei, Griechenland und Israel.

Jeder Account sollte ein eigenes Passwort haben!

Twitter hat lediglich eine Sicherheitsmaßnahme dahingehend getroffen, dass aufeinander folgende Rufnummern nicht abgeglichen werden können, zumindest nicht in einem größeren Umfang. Wahrscheinlich um Missbrauch zu verhindern. Die über 2 Milliarden Rufnummern, die von Balic hochgeladen wurden, waren demnach keine Rufnummernblöcke, sondern einzelne Rufnummern. So konnte diese Sicherheitsmaßnahme umgangen werden.

Schwachstelle in der Twitter App – Nur Android!

Als Twitter am 20. Dezember davon erfuhr, haben Sie kurzen Prozess gemacht und den Benutzeraccount von Balic blockiert. Kurz zuvor hatte er noch eine WhatsApp Gruppe mit allen Nutzern erstellt um die Benutzer darüber zu informieren. Über die Website und über IOS war das abgleichen der Daten nicht möglich. Es war lediglich ein Android Problem.

Eine Reihe von Datenpannen sind 2019 Publik geworden und man sollte schauen, ob man selber betroffen ist, oder nicht. Troy Hunt, IT-Sicherheitsexperte betreibt die Abfrage-Dienste „Pwned Passwords“ und „Have I been Pwned?“ Auf dieser Seite gebt Ihr einfach Eure Mailadresse an und ein paar Sekunden später bekommt ihr eine E-Mail. Dort kann man sehen ob die Mailadresse betroffen ist und wenn ja, in was für einem Zusammenhang.

Verwendete Quellen:- winfuture.de – https://winfuture.de/news,113172.html

Apple nimmt Sicherheits-App von Facebook aus dem Store