Breaking News

ทวิตเตอร์พบคนร้ายใช้ API จับคู่เบอร์โทรศัพท์กับชื่อบัญชี

ทวิตเตอร์ได้ประกาศเหตุการณ์พบแฮ็กเกอร์ใช้ API เพื่อจับคู่ระหว่างเบอร์โทรศัพท์และชื่อบัญชี

เมื่อวันที่ 24 ธันวาคมที่ผ่านมาทางทวิตเตอร์พบว่ามีกลุ่มเครือข่ายของบัญชีปลอมลอบใช้ API เพื่อจับคู่เบอร์โทรศัพท์และชื่อบัญชี ต่อมาจึงได้ทำการสืบสวนและแจ้งเตือนผู้ใช้งาน ซึ่งปัจจุบันทีมงานได้ระงับบัญชีต้องสงสัยเหล่านั้นและจำกัดบางอย่างในการตอบสนองการ Query แล้ว

โดยปกติ API Endpoint ดังกล่าวจะถูกใช้ช่วยหาเพื่อนใหม่ทางทวิตเตอร์ที่ใส่หมายเลขโทรศัพท์ในบัญชีและต้องเปิดอนุญาตให้ถูกค้นหาเจอได้ด้วย (เหมือนอนุญาตหาด้วยเบอร์ในไลน์) ซึ่งบริษัทชี้ว่าบางไอพีอาจถูกใช้จากแฮ็กเกอร์ที่มีรัฐสนับสนุน อย่างไรก็ตามดูเหมือนไอพีจะกระจายอยู่ในหลายประเทศแต่ทีมงานพบว่า Request จำนวนมากมาจากไอพีของอิหร่าน อิสราเอล และมาเลเซีย

ที่มา :  https://www.bleepingcomputer.com/news/security/twitter-fixed-issue-exploited-to-match-phone-numbers-to-accounts/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cloudflare รับมือกับ DDoS Attack ขนาด 754 ล้านแพ็กเก็ตต่อวินาที ด้วยระบบอัตโนมัติได้อย่างไร

Cloudflare ได้ออกมาเปิดเผยว่าตนถูก DDoS Attack หลายต่อหลายครั้งช่วงปลายมิถุนายนที่ผ่านมา ซึ่งความน่าประทับใจคือระบบอัตโนมัติสามารถจัดการการโจมตีขนาดสูงสุดกว่า 754 ล้านแพ็กเก็ตต่อวินาทีได้ตลอดความพยายามหลายรูปแบบกว่า 4 วันของคนร้าย โดยที่ทีมงานไม่ได้รับการเตือนจากระบบหรือเสียงบ่นจากลูกค้าว่ามีปัญหาด้วยซ้ำ

Imperva ออกบริการ Cloud Data Security

Imperva ได้เล็งเห็นถึงความสำคัญของการใช้งาน Database-as-a-Service (DBaaS) ซึ่งปัจจุบันยังไม่มีโซลูชันป้องกันเพียงพอ ด้วยเหตุนี้เองจึงนำเสนอบริการ SaaS ใหม่ที่ชื่อ Cloud Data Security เพื่อเติมเต็มจุดประสงค์นี้