Sicherheitslücke in Twitters API: Telefonnummern abgreifbar

Durch die missbräuchliche Verwendung einer API von Twitter konnten Unbekannte Telefonnummern und Nutzernamen kombinieren und einsehen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 13 Beiträge

(Bild: Koshiro K/Shutterstock.com)

Von

Twitter hat einen Missbrauchsfall öffentlich gemacht, in dem Unbekannte massenhaft Nutzernamen sowie Telefonnummern miteinander verknüpfen und einsehen konnten. Dafür nutzten sie die API, die eigentlich dafür eingerichtet wurde, Freunde auf der Plattform zu finden. Der Zugang soll inzwischen gesperrt und die betrügerischen Konten gelöscht sein. Twitter vermutet staatliche Akteure hinter dem Vorfall.

Bereits am 24. Dezember berichtete das Magazin TechCrunch über eine Sicherheitslücke, durch die 17 Millionen Telefonnummern Konteninhabern zugeordnet werden konnten. Um die Lücke zu testen, habe der Software-Entwickler und Sicherheitsspezialist Ibrahim Balic Telefonnummern generiert und über die Android-App hochgeladen. So soll er an die zugehörigen Nutzernamen gekommen sein. Für Twitter war dieser Bericht der Anlass, um die API zu untersuchen.

Dabei stellte sich nicht nur heraus, dass es die Möglichkeit gab, Verbindungen einzusehen, sondern auch, dass besonders viele Zugriffe über die Sicherheitslücke von Fake-Accounts mit IP-Adressen aus dem Iran, Israel und Malaysia kamen, was Twitter dazu veranlasst, von staatlicher Spionage auszugehen. "Wir nehmen das wegen einer Fülle an Hinweisen an", heißt es im Blogbeitrag von Twitter.

Die ausgenutzte API hilft Kontoinhabern, ihre Kontakte über Telefonnummern auch bei Twitter zu finden. Das soll vor allem beim Einstieg in den Kurznachrichtendienst helfen. Betroffen sind nur Nutzer der Android-App, die diese Funktion aktiviert haben – und natürlich ihre Telefonnummer hinterlegt haben.

Ebenfalls im Dezember machte Twitter öffentlich, dass Hacker aufgrund einer anderen Sicherheitslücke in der Android-App private Informationen wie Direktnachrichten einsehen konnten. Die Lücke machte es möglich, Code einzuschleusen, der die Daten ausgelesen hat. Kurz zuvor hatte das soziale Netzwerk laut eigener Aussage aus Versehen Telefonnummern und E-Mail-Adressen zum Abgleich für Werbekunden freigegeben.

(emw)