Twitter, telefon numaralarının kullanıcı isimleriyle eşleştiren güvenlik açığından faydalanan hesapları ortaya çıkardığını ve bu hesapları askıya aldığını açıkladı. Şirket böylelikle 2019’un son ayında araştırmacı İbrahim Baliç tarafından ortaya çıkarılan açığın varlığını da kabul etmiş oldu.
Baliç, Twitter’ın Android uygulaması üzerinde keşfettiği güvenlik açığı sayesinde 17 milyon telefon numarasını bağlı oldukları hesaplar ile eşleştirebildiğini belirtmişti. Kullanıcılar Twitter’da telefon numarası üzerinden kişileri bulabiliyor. Ancak mikro blog servisinin verdiği bilgiye göre, söz konusu güvenlik açığı kişi bulma özelliğinin amacının ötesine geçiyor.
İbrahim Baliç, araştırması kapsamında açığın varlığını kanıtlamak için çok sayıda sahte hesap oluşturmuştu. Bu hesapları kapatan Twitter, açıktan yararlanan başka hesapların da keşfedildiğini ve kapatıldığını duyurdu. Bu hesapların farklı ülkelere yayıldığını belirten şirket; büyük çoğunluğunun ise İran, İsrail ve Malezya’da olduğunu açıkladı.
Twitter güvenlik açığını kapattı
Twitter’dan yapılan açıklamada, tespit edilen IP’lerden bazılarının devlet destekli kişilerle bağlantılı olabileceği belirtildi. Şirket, konuyla ilgili açıklamanın ise tedbir ve prensip gereğince yapıldığını ifade etti.
Güvenlik açığı sayesinde kötü niyetli kişilerin milyonlarca kullanıcının telefon numarasını görebildiği belirtildi. Telefon numarasıyla bulunabilme özelliğini aktif hâle getirmeyen Twitter kullanıcılarının ise durumdan etkilenmediği ifade edildi. Kötü niyetli hesapları hemen askıya alan şirket, güvenlik açığının daha fazla kullanılmaması için de gerekli API değişikliklerini gerçekleştirdi.
