ทวิตเตอร์พบคนร้ายใช้ API จับคู่เบอร์โทรศัพท์กับชื่อบัญชี

ทวิตเตอร์ได้ประกาศเหตุการณ์พบแฮ็กเกอร์ใช้ API เพื่อจับคู่ระหว่างเบอร์โทรศัพท์และชื่อบัญชี

เมื่อวันที่ 24 ธันวาคมที่ผ่านมาทางทวิตเตอร์พบว่ามีกลุ่มเครือข่ายของบัญชีปลอมลอบใช้ API เพื่อจับคู่เบอร์โทรศัพท์และชื่อบัญชี ต่อมาจึงได้ทำการสืบสวนและแจ้งเตือนผู้ใช้งาน ซึ่งปัจจุบันทีมงานได้ระงับบัญชีต้องสงสัยเหล่านั้นและจำกัดบางอย่างในการตอบสนองการ Query แล้ว

โดยปกติ API Endpoint ดังกล่าวจะถูกใช้ช่วยหาเพื่อนใหม่ทางทวิตเตอร์ที่ใส่หมายเลขโทรศัพท์ในบัญชีและต้องเปิดอนุญาตให้ถูกค้นหาเจอได้ด้วย (เหมือนอนุญาตหาด้วยเบอร์ในไลน์) ซึ่งบริษัทชี้ว่าบางไอพีอาจถูกใช้จากแฮ็กเกอร์ที่มีรัฐสนับสนุน อย่างไรก็ตามดูเหมือนไอพีจะกระจายอยู่ในหลายประเทศแต่ทีมงานพบว่า Request จำนวนมากมาจากไอพีของอิหร่าน อิสราเอล และมาเลเซีย

ที่มา :  https://www.bleepingcomputer.com/news/security/twitter-fixed-issue-exploited-to-match-phone-numbers-to-accounts/