Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Security-onderzoeker achterhaalt 17 miljoen telefoonnummers Twitter-gebruikers'

De Android-versie van de Twitter-app heeft een kwetsbaarheid waardoor willekeurige telefoonnummers geüpload kunnen worden, waarna ze door de dienst gematcht worden met gebruikers. Wie genoeg nummers invoert, krijgt vanzelf de nummers van belangrijke personen.

Volgens TechCrunch is het werk het resultaat van onderzoek van securityresearcher Ibrahim Balic. Hij probeerde aanvankelijk een sequentiële set nummers te uploaden bij Twitter, maar daar was het systeem al op voorbereid. Een randomized set van twee miljard gegenereerde telefoonnummers kreeg hij er echter wel doorheen. Het resultaat was 17 miljoen matches tussen telefoonnummer en Twitter-account. Balic zou de kwetsbaarheid niet gemeld hebben aan Twitter en de Twitter-account van de onderzozeker is intussen geschorst.

In de loop van verificatiewerkzaamheden heeft TechCrunch een 'seniore Israëlische politicus' weten op te sporen, alsmede andere non-prominente gebruikers. Balic zegt de belangrijkste hits zelf via een WhatsApp-groep te hebben geïnformeerd.

In een reactie tegenover TechCrunch zegt Twitter dat het "werkt om ervoor te zorgen dat deze bug niet opnieuw uitgebuit kan worden". Dat was op Kerstavond, dus het lijkt erop dat de bug nog steeds aanwezig is. Het is nog de vraag hoe Twitter dit precies oplost, aangezien niet aan te tonen is of een telefoonnummer echt is of uit de lucht gegrepen is door een kwaadwillende.

Door Mark Hendrikman

Nieuwsposter

25-12-2019 • 10:23

44 Linkedin Google+

Reacties (44)

Wijzig sortering
Het blijft verwonderlijk hoe makkelijk iemand die niet tot een dienst behoort ook aan allerlei privégegevens kan komen.
Laat staan wat een medewerker dus allemaal kan achterhalen van een persoon. Reden dat ik steeds terughoudender ben met sociaal media.
Dit is geen reden voor mij om terughoudend te zijn voor Social Media, maar eerder met het overal achterlaten van mijn telefoonnummer. Mijn nummer geef ik niet zomaar overal prijs op het internet. Een 2FA met telefoonnummer gebruik ik alleen in bijzondere gevallen.

[Reactie gewijzigd door Kiswum op 25 december 2019 11:03]

Dit is geen reden voor mij om terughoudend te zijn voor Social Media, maar eerder met het overal achterlaten van mijn telefoonnummer. Mijn nummer geef ik niet zomaar overal prijs op het internet. Een 2FA met telefoonnummer gebruik ik alleen in bijzondere gevallen.
Voor mij wel, dit en veel meer redenen is de reden dat ik niks moet hebben van Social Media zo als Twitter en Facebook en meer.

En ik mis helemaal niks, heerlijk geen verplichtingen, en te kijken en horen dat je weer een berichtje heb van ze.
Whatsapp heeft sowieso je telefoonnummer nodig. En dat is zosialmediaa
Dit heeft niets met social media te maken. Het had ook jouw verzekeraar, werkgever, e.d. kunnen zijn.
Dit heeft niets met social media te maken
Dit heeft alles met social media te maken, waarbij je elkaar kan vinden adhv een telefoonnummer. Bij een verzekeraar heb je niets te maken met andere klanten van de verzekeraar en dus bestaat dergelijke functionaliteit niet.
Het ligt eraan hoeveel seconden er tussen upload en antwoord zit. Of hebben ze dit bij Twitter als server die je onbeperkt kan requesten?
Hoeveel seconden? Met 2 000 000 000 telefoonnummers, zelfs als ie elke 100 ms een nummer probeert ben je 6+ JAAR bezig!

Uit het TechCrunch artiekel: "... Over a two-month period, Balic said he matched records ..."

Als Balic die 2 maanden continu heeft doorgewerkt (of zijn scripts heeft laten draaien) probeerde hij 413,4 telefoonnummers per seconden.
Geen wonder dat ik allemaal telefoontjes van oplichters krijg. De digitale privacy is ver te zoeken tegenwoordig.

Edit: natuurlijk een ongefundeerde uitspraak omdat dit niet bewezen kan worden ;) . Wat ik aan wil halen is vrij eenvoudig verkrijgen van massa telefoonnummers. Ik kan me voorstellen dat deze ook makkelijk te verkrijgen zijn via donkere kanalen.

[Reactie gewijzigd door rstyled op 25 december 2019 11:09]

Geen wonder dat ik allemaal telefoontjes van oplichters krijg. De digitale privacy is ver te zoeken tegenwoordig.

Edit: natuurlijk een ongefundeerde uitspraak omdat dit niet bewezen kan worden ;) . Wat ik aan wil halen is vrij eenvoudig verkrijgen van massa telefoonnummers. Ik kan me voorstellen dat deze ook makkelijk te verkrijgen zijn via donkere kanalen.
Hoeft niet eens donker te zijn, zo'n kanaal .
https://www.nieuwemobiel.nl/Nummerreeksen.html

Zelfs ik met mijn beperkte programmeer kennis, kan een manier vinden om de nummerreeks van bv KPN in een auto-dialler te krijgen.
Dan laten uitbellen, en wie opneemt is aan de beurt.

Dat moet je niet zelf willen, dat moet je uitbesteden naar India, met een script en vervolgacties ...
Ik werd eergisteren gebeld door nummer dat me een nieuw 'energiecontract' aan wilde smeren. Ze wisten mijn achternaam en bij welke leverancier ik momenteel zit. Nummer opgezocht en bleken oplichters te zijn. Vrouw sprak ABN.
Dan heb je je nummer en naam ergens achter gelaten hebben.
Er zijn tientallen kanalen waar verkopers naam/nummers achterhalen.
Een oude database opgekocht van een (failliete) energie maatschappij, of je nummer ergens hebben staan, gekoppeld aan een account wat op zijn beurt weer openbaar staat / is geraakt

Maar jij had het over 'massaal verkrijgen van nummers' en dat is iets wat niet zo lastig is.
Ik ben helemaal voor je reactie. Wilde illustreren dat men tegenwoordig veel gegevens kan achterhalen en dat dit een kwalijke zaak is. Nu zijn we op tweakers aardig op de hoogte van deze praktijken. Maar er zijn ook veel onwetende burgers die doelwit worden door slecht beveiligde persoonsgegevens.
Toevallig ooit in de KvK geregistreerd geweest? Dit soort scams (want dat zijn het als je ze laat doorpraten) komen zeer vaak naar aanleiding van opgekocht KvK-informatie.

Als de dame aan de telefoon gewoon Nederlands sprak, is er een redelijke kans dat er een echt Nederlands bedrijf belt. In dat geval wil een klacht bij de ACM nog wel eens helpen; ze reageren niet direct op meldingen, maar als ze veel bericht krijgen over bepaalde bedrijven kunnen ze een onderzoek starten dat behoorlijk vervelend is voor de belcentrales en hun eigenaren. Daarvoor moet je wel in het bel-me-nietregister staan natuurlijk. Hoe meer meldingen, hoe sneller er achter dit soort bedrijven aan wordt gegaan!
Sta je ingeschreven bij de KVK?
Die oplichters bellen gewoon redelijk random. Zij weten echt niet wie je bent.

De “helpdesk-frauders” gaan er gewoon vanuit dat je een Windows-computer hebt.

Die gasten die met een Noord-Afrikaans nummer bellen en 1x laten overgaan zal het helemaal aan de reet roesten wie je bent. Zij willen alleen maar dat je terugbelt, want *boem* dan zit jij aan de haak voor hun betaalnummer.

https://www.consumentenbo...uitgelicht/telefoonfraude

[Reactie gewijzigd door Keypunchie op 25 december 2019 11:02]

Tegenwoordig bellen ze niet meer met een internationaal nummer maar hebben ze een telefoonnummer van iemand gespoofd (is spoofing een werkwoord ??? )
Het is een gewoon "vast" nummer uit Nederland van iemand die er niets vanaf weet maar waarvan ze het nummer via spoofing gebruiken
Wat ik nu regelmatig meemaak is dat ze het land gebruiken dat lijkt op het lokale netnummer. Mensen in Den Haag (070) worden gebeld door +70*****, Amsterdam door +20***** etc om het nog onschuldiger te doen lijken.
Intressant! Zat gelijk even op mijn recente oproepen lijst te scrollen. Ik word de laatste tijd enorm vaak gebeld door een nummer uit Tunesië.

Ik kom zelf uit 0315 (ondanks dat ze op mijn mobiel bellen, maar wie weet is er een locatie bekend bij mijn 06 nummer) maar het nummer uit Tunesië begint met "+216"

Helaas gaat bovenstaand verhaal dan niet op (maar lijkt me alsnog logisch dat het zo gebruikt word)
Je hebt geen specifiek telefoonnummer nodig om iemand te kunnen bellen Gewoon een kwestie van de bekende nummerreeksen af gaan. Wat mij wel verbaast is dat mobiele nummers nog niet zoveel worden gebruikt door de "microsoft helpdesk" e.d. Toen ik nog een vaste lijn had werd is daar wel eens op gebeld, maar op mobiel nog nooit. Terwijl het toch niet zo moeilijk is. Begin gewoon bij 0610000000....
Dan krijg je vaak iemand die niet thuis is. Daar heb je niet zo veel aan.
Ik denk dat een onderzoeker de gegevens niet verkoopt. Maar als hij er bij kan kunnen criminelen er ook bij. En dan kun je wel Algerije-calls krijgen natuurlijk.
Zou de onderzoeker trumps nummer hebben achterhaald?
Nou, dat kan al makkelijker. Toen Donald Trump Jr. telefoonnummers had gedumpt van tegenstanders van Trump, viel de prefix op. 7 tot 8 eerste nummers waren hetzelfde. Dit is het Senaat en Witte huis. Iets in me zei dat 001 de hoofdaansluiting was, doe ermee wat je wil.
P.s. Trump gebruikt geen Whatsapp.
Iets in me zegt dat 001 gewoon het internationale toegangsnummer voor de VS is....
Aan de voorkant ja :O.
+001 zou ik dan wel hebben gezegd :+.
Dat iets is dan niet correct. (+|00)1 is de prefix voor het North American Numbering Plan (NANP), zie https://en.wikipedia.org/...h_American_Numbering_Plan voor landen die hier gebruik van maken, waar onder ook een land binnen het Koninkrijk der Nederlanden.
https://www.whitehouse.gov/get-involved/write-or-call/

[Reactie gewijzigd door OxWax op 25 december 2019 10:51]

En jij denkt dat als je dat nummer belt je werkelijk Trump aan de lijn krijgt? :+
Het is tegenwoordig bijna niet meer voorstellen dat ze vroeger gewoon complete boekwerken vol telefoonnummers in plain text bij de mensen thuis bezorgde. :D
Ja en op CD-ROM waardoor je heel makkelijk achterstevoren kon zoeken ook :9
Leuk 2 traps auth maar je ziet maar weer waar het naar toe kan leiden. Zo'n bug zat ook in fb voor meerdere jaren. Het 06 nummer gewoon in de zoekbalk plempen kon al leiden naar een 100% matched account. 2 traps moet je alleen bij diensten hangen daar waar je het echt nodig hebt, de rest gewoon een goed sterk random wachtwoord, en het liefst een gescheiden email adres van je prive. De rest spreekt voor zich.
Whut? Tweetraps auth is lang niet altijd via SMS omdat het zo'n beetje de minst veilige optie is.

Veel vaker wordt gebruik gemaakt van TOTP die gegenereerd wordt door een app (bijv op je telefoon of wachtwoord manager etc.). Steeds vaker is er gelukkig ook ondersteuning voor fysieke security keys.

Dus zet 2FA maar snel weer aan en je alu hoedje af ;)
Hmmkay ...
Waar ik echter over val, is de privacybreach, die hij ZELF veroorzaakt dan
Balic zelf zegt de belangrijkste hits zelf via een WhatsApp-groep te hebben geïnformeerd.
Dus iedereen in die groep, ziet de nummers van de andere deelnemers .....

Tja ..

[Reactie gewijzigd door FreshMaker op 25 december 2019 11:55]

Dus de onderzoeker heeft het lek ontdekt en in plaats van het bij Twitter te willen melden ging die ruim 2 maanden proberen om personen en telefoonnummers te achterhalen? Ik zou de onderzoeker eerder crimineel noemen.
Ook het kennelijk zeer selectief proberen te informeren door de nummers maar in een whatsapp-groep te zetten in de hoop ze zo te bereiken klinkt niet alsof hij het probleem echt wilde oplossen.
Goed gevonden deze bug, beloning zou op zijn plaats zijn maar die krijg je misschien al standaard voor dit soort gevonden bugs.
Hij heeft wel een aantal mensen hun kerst om zeep geholpen! }>
Wat ik even niet snap is waarom de onderzoeker Twitter niet gewoon via hun HackerOne programma tenminste 60 dagen de tijd geeft om het op te lossen voor publicatie.

Of lees ik het nu verkeerd, maar je kunt van geen enkel bedrijf verwachten dat ze een op kerst gemeld issue per direct op kunnen lossen (mits het ook nog wat ingewikkelds is), dus het dan erger maken en het in het nieuws brengen snap ik niet zo goed.
Zo ziet men maar weer met enige power en veel data, al dan niet AI en BIG DATA, kan men met zeer weinig basis gegevens reeds zeer veel zoniet bijna alle persoonsgegevens en wat hierbij behoord achterhalen. ( dus ook zaken die de personen zelf nog geen eens weten)

Dan is de AVG enz ofcourse veeeeel te laat want de meeste van die gegevens is men reeds tientallen jaren terug mee begonnen te verzamelen, de losse / verschillende datasets mogen dan wel voldoen aan AVG , laat men hier echter e.a. op los en koppelen enz foetsie AVG. ( DIGITALE discriminatie is reeds lang een feit mede hierdoor)

Alleen al geboorteplaats , jaartal / periode of waar men ooit gewerkt of gewoond heeft kunnen uitsluitsel geven met betrekking tot bijv. sommige ziektes die je hebt of kan met verhoogd risico gaan krijgen veroorzaakt door e.a. wat je daar waarschijnlijk gratis binnen hebt gekregen in die tijd.

[Reactie gewijzigd door jahoorisieweer op 25 december 2019 11:04]

Dan is de AVG enz ofcourse veeeeel te laat
Maar dat is vrij normaal met wetgeving. Je gaat pas wetgeving invoeren als iets niet goed gaat. Je wilt ook niet dat we nu wetgeving gaan maken voor zaken die nu nog niet spelen.

En in dit specifieke geval: AVG is best wel een hele complexe wet doordat de materie niet simpel is. Je zou heel makkelijk kunnen zeggen dat er niets mag worden opgeslagen, maar dan gaat het goed fout.
Maar dat is vrij normaal met wetgeving. Je gaat pas wetgeving invoeren als iets niet goed gaat. Je wilt ook niet dat we nu wetgeving gaan maken voor zaken die nu nog niet spelen.
Eh waarom niet? Het is best handig om van tevoren wat spelregels op te stellen. Met name met dit soort dingen die veel inbreuk kunnen maken hebben op het leven van mensen.

Kijk naar de situatie die we nu hebben met de grote techbedrijven die onze data minen. Dit is veel te lang los gelaten. Dat soort misbruik van persoonlijke data had in de kiem gesmoord kunnen worden door vanaf het begin duidelijk te maken dat het niet mag. Nu zijn die diensten veel te rijk geworden over onze ruggen, en hebben teveel macht in de politiek.

Ik ben het helemaal met @jahoorisieweer eens. Dit is veel te laat gebeurd.

[Reactie gewijzigd door GekkePrutser op 26 december 2019 02:29]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True