Beyaz Takım A.Ş'de CTO olarak görev yapan Türk güvenlik araştırmacısı İbrahim Baliç, Twitter Android uygulamasında bulduğu bir açık sayesinde 17 milyon kullanıcının telefon numarasına erişebildiğini belirtti.
AÇIĞI NASIL YAKALADI?
Karar'dna Ziyahan Albeniz'in haberine göre Baliç'in teknik ayrıntılarını açıkladığı zafiyet Twitter'ın Android uygulamasındaki kişileri içe aktar özelliğinden kaynaklanıyor. Twitter Android uygulaması üzerinden kişi listesi yüklendiğinde Twitter yanıt olarak telefon numaraları ile eşleşen kullanıcıların bilgisini döndürüyor.
Zafiyet ile ilgili TechCrunch sitesine yaptığı açıklamada Baliç, Twitter ardışık telefon numaralarını kabul etmediği için, ürettiği telefon numaralarının sırasını değiştirdiğini, bu yolla uygulamadaki zafiyeti kullanarak 17 milyon kullanıcının telefon bilgisine erişebildiğini belirtiyor.
ÜST DÜZEY GÖREVLİLERİN DE NUMARALARI ELİNDE
Rastgele üretilen ve ardışık olmayan bir sıralamada uygulamaya yüklenen telefon numarası listesi sonucunda Türkiye, İsrail, Fransa, Ermenistan, Yunanistan, İran, Türkmenistan ve Almanya'dan pek çok politikacı ve üst düzey görevlinin telefon numarası bilgilerine erişebilen Baliç, 20 Aralık tarihinde Twitter bu işlemleri bloklayana kadar 2 ay süre ile 17 milyon telefon numarası ve telefon numaraları ile eşleşen Twitter profillerine ulaşabildi.
ÜST DÜZEY BİR İSRAİLLİNİN NUMARASIYLA DOĞRULADI
Baliç, Twitter'ın parola hatırlatma servisi üzerinden rastgele seçilen kullanıcı adlarını kullanarak TechCrunch muhabirine elindeki verilerin doğruluğunu kanıtladı. TechCrunch muhabiri üst düzey bir İsrail yetkilisinin telefon numarası üzerinden kanıtların geçerliliğini doğruladığını belirtti.
İbrahim Baliç
TWITTER'I DEĞİL, BU İSİMLERİ WHATSAPP'TAN UYARDI
Zafiyet konusunda Twitter'ı uyarmak yerine, Baliç seçtiği profillere sahip kullanıcıları WhatsApp üzerinden doğrudan uyararak açık konusunda bilgilendirdi.
Twitter'dan bir yetkili zafiyetin tekrar istismar edilmemesi için çalışmalara devam ettiklerini belirtiyor.
Twitter yetkilisi açıklamasının devamında şunları kaydetti: "Bu zafiyet üzerinde çalışırken şüphelerimizi Twitter hesaplarının kullanıcıların kişisel verilerine ulaşmak için kullanılıp kullanılmadığı üzerinde yoğunlaştırdık. Twitter'ı kullanan kişilerin gizlilik ve güvenliğini sağlamak öncelikli görevimiz. Twitter API'sinden kaynaklanan ihlalleri durdurmaya yoğunlaştık."
İbrahim Baliç 2013 yılında Apple'in geliştirici merkezinde bulduğu bir zafiyet ile de adından söz ettirmişti.