Ingram SUSE

ทวิตเตอร์พบคนร้ายใช้ API จับคู่เบอร์โทรศัพท์กับชื่อบัญชี

ทวิตเตอร์ได้ประกาศเหตุการณ์พบแฮ็กเกอร์ใช้ API เพื่อจับคู่ระหว่างเบอร์โทรศัพท์และชื่อบัญชี

เมื่อวันที่ 24 ธันวาคมที่ผ่านมาทางทวิตเตอร์พบว่ามีกลุ่มเครือข่ายของบัญชีปลอมลอบใช้ API เพื่อจับคู่เบอร์โทรศัพท์และชื่อบัญชี ต่อมาจึงได้ทำการสืบสวนและแจ้งเตือนผู้ใช้งาน ซึ่งปัจจุบันทีมงานได้ระงับบัญชีต้องสงสัยเหล่านั้นและจำกัดบางอย่างในการตอบสนองการ Query แล้ว

โดยปกติ API Endpoint ดังกล่าวจะถูกใช้ช่วยหาเพื่อนใหม่ทางทวิตเตอร์ที่ใส่หมายเลขโทรศัพท์ในบัญชีและต้องเปิดอนุญาตให้ถูกค้นหาเจอได้ด้วย (เหมือนอนุญาตหาด้วยเบอร์ในไลน์) ซึ่งบริษัทชี้ว่าบางไอพีอาจถูกใช้จากแฮ็กเกอร์ที่มีรัฐสนับสนุน อย่างไรก็ตามดูเหมือนไอพีจะกระจายอยู่ในหลายประเทศแต่ทีมงานพบว่า Request จำนวนมากมาจากไอพีของอิหร่าน อิสราเอล และมาเลเซีย

ที่มา :  https://www.bleepingcomputer.com/news/security/twitter-fixed-issue-exploited-to-match-phone-numbers-to-accounts/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password ล่าสุดจาก NIST

บทความนี้ได้สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password จากเอกสาร NIST Special Publication 800-63B Rev3 ของ สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ หรือ NIST ได้แก่ การสร้างรหัสผ่านใหม่ การพิสูจน์ตัวตนด้วยรหัสผ่าน …

FBI จับกุมผู้ต้องหาวางแผนระเบิดดาต้าเซ็นเตอร์ของ AWS

ในสังคมอันกว้างใหญ่นี้มีอาชญากรมากมายเกิดขึ้นทุกวัน ทั้งจากโลกไซเบอร์เองหรือคนที่มีความคิดรุนแรงหวังสร้างความเสียทาง Physical ให้แก่โครงสร้างพื้นฐานทางไอที ล่าสุด FBI ก็ได้เข้าจับกุมชายรายหนึ่งที่วางแผนลอบวางระเบิดดาต้าเซ็นเตอร์ของ AWS เพราะหวังทำลายระบบอินเทอร์เน็ตส่งผลกระทบเป็นวงกว้าง