Социальная сеть Twitter сообщила, что обнаружила ошибку в одной из форм обратной связи. Баг позволял злоумышленникам увидеть код страны, к которой относится телефонный номер пользователя, а также узнать, была ли учетная запись заблокирована администрацией соцсети. Уязвимость обнаружили 15 ноября и устранили уже на следующий день. Согласно правилам GDPR, компания уведомила о случившемся специального уполномоченного Европейского союза по защите данных, а также пострадавших пользователей.

Однако публичное сообщение об уязвимости появилось только 17 декабря. В нем, в частности, говорится, что в течение месяца эксперты устанавливали подробности инцидента. В ходе расследования специалисты обнаружили повышенную активность в отношении затронутой формы обращения в техподдержку с IP-адресов, размещенных в Китае и Саудовской Аравии.

В публичном заявлении нет точных сведений о количестве пострадавших и подробностей самой уязвимости. Известно только, что баг содержится в API веб-формы обращения в техподдержку. Также представители компании отмечают, что утечка могла коснуться пользователей, о которых не знают разработчики соцсети.

В Twitter подчеркивают, что баг не позволял увидеть полный номер телефона или другие личные данные. Однако полученной информации может быть достаточно для того, чтобы подтвердить принадлежность того или иного аккаунта к определенной стране, что создает опасность для диссидентов.

ИБ-исследователь Пирзада Фаваз Ахмад Куреши (Peerzada Fawaz Ahmad Qureshi) отмечает, что обнаружил похожий баг в форме обращения в техподдержку Twitter еще два года назад. О своей находке он уведомил разработчиков через платформу HackerOne. Отчет эксперта отметили как содержательный, однако вознаграждения он не получил, а уязвимость компания не стала исправлять как не представляющую существенной опасности.

Согласно докладу Куреши, получить код страны из чьей-либо учетной записи мог кто угодно через страницу сброса пароля. Для этого злоумышленнику достаточно было выбрать опцию «У меня нет доступа к адресу электронной почты» при входе в чужой аккаунт. Если к учетной записи был привязан номер телефона, злоумышленнику предлагали ввести его, причем форма автоматически подставляла в поле ввода код страны.

Пока неизвестно, как именно действовали злоумышленники, чтобы собрать нужные им сведения в большом количестве. Куреши предполагает, что у API веб-формы нет ограничений на количество запросов.

Категории: Уязвимости