Twitter закрыл уязвимость, позволяющую определить страну пользователя
Twitter устранил уязвимость, которая позволяла получить код страны пользователя из номера телефона, привязанного к аккаунту. Теоретически этот баг мог привести к ущемлению представителей политической оппозиции и общественных деятелей,
Уязвимость была обнаружена в одной из форм для связи с компанией. В Twitter выяснили, что большое число запросов, отправляемых через эту форму, поступало с IP-адресов в Китае и Саудовской Аравии.
«Хотя мы не можем сказать наверняка, есть вероятность, что некоторые из этих IP-адресов могли быть связаны со спонсируемыми государством хакерами», — отметили в Twitter.
Разработчики начали работать над уязвимостью 15 ноября. Уже на следующий день, 16 ноября, она была устранена.
Представитель Twitter заявил, что этот баг мог затронуть европейских пользователей, в связи с чем компания уведомила о проблеме еврокомиссара по вопросам защиты данных. Однако, поскольку коды страны не являются конфиденциальной личной информацией, их утечка не должна вызвать каких-либо штрафов или санкций, связанных с GDPR.
Компания также оповестила о проблеме Федеральную торговую комиссию США и другие надзорные органы.
Кроме того, Twitter связался с теми пользователями, которые могли пострадать от уязвимости, и заверил их, что хакеры не могли получить полные номера телефонов. Поэтому предпринимать какие-либо действия им не нужно.
Сколько аккаунтов было затронуто, в Twitter не уточнили и добавили, что расследование продолжается.
Компания также извинилась за этот инцидент перед пользователями:
«Мы ценим ваше доверие к нам и готовы зарабатывать его каждый день. Мы сожалеем, что это произошло».
Напомним, что ранее в этом месяце Google сообщил об ещё одной уязвимости в Google+, затронувшей 52,5 млн пользователей.