ทวิตเตอร์พบคนร้ายใช้ API จับคู่เบอร์โทรศัพท์กับชื่อบัญชี

ทวิตเตอร์ได้ประกาศเหตุการณ์พบแฮ็กเกอร์ใช้ API เพื่อจับคู่ระหว่างเบอร์โทรศัพท์และชื่อบัญชี

เมื่อวันที่ 24 ธันวาคมที่ผ่านมาทางทวิตเตอร์พบว่ามีกลุ่มเครือข่ายของบัญชีปลอมลอบใช้ API เพื่อจับคู่เบอร์โทรศัพท์และชื่อบัญชี ต่อมาจึงได้ทำการสืบสวนและแจ้งเตือนผู้ใช้งาน ซึ่งปัจจุบันทีมงานได้ระงับบัญชีต้องสงสัยเหล่านั้นและจำกัดบางอย่างในการตอบสนองการ Query แล้ว

โดยปกติ API Endpoint ดังกล่าวจะถูกใช้ช่วยหาเพื่อนใหม่ทางทวิตเตอร์ที่ใส่หมายเลขโทรศัพท์ในบัญชีและต้องเปิดอนุญาตให้ถูกค้นหาเจอได้ด้วย (เหมือนอนุญาตหาด้วยเบอร์ในไลน์) ซึ่งบริษัทชี้ว่าบางไอพีอาจถูกใช้จากแฮ็กเกอร์ที่มีรัฐสนับสนุน อย่างไรก็ตามดูเหมือนไอพีจะกระจายอยู่ในหลายประเทศแต่ทีมงานพบว่า Request จำนวนมากมาจากไอพีของอิหร่าน อิสราเอล และมาเลเซีย

ที่มา :  https://www.bleepingcomputer.com/news/security/twitter-fixed-issue-exploited-to-match-phone-numbers-to-accounts/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ผู้เชี่ยวชาญเผยเซิร์ฟเวอร์ VNC กว่า 9,000 ตัวออนไลน์โดยไร้รหัสผ่าน

ชาวแอดมินทั้งหลายคงรู้จักการใช้ VNC เพื่อรีโมตไปยังเครื่องภายในกันดีอยู่แล้ว แต่สิ่งที่น่ากังวลคือผู้เชี่ยวชาญจาก Cyble ได้สแกนเซิร์ฟเวอร์เหล่านี้ที่ออนไลน์อยู่ในอินเทอร์เน็ตและพบว่ามีเครื่องกว่า 9,000 ตัวที่ไร้การป้องกันด้วยรหัสผ่าน

Microsoft มอบเงินรางวัล 13.7 ล้านเหรียญสหรัฐฯ ให้กับ Bug Bounty Program

ในรอบปีที่ผ่านมา Microsoft มอบเงินรางวัลกว่า 13.7 ล้านเหรียญสหรัฐฯ ให้กับนักวิจัยจำนวน 335 คน ผ่าน Microsoft Bug Bounty Programs