Twitter sluit accounts die api-bug actief misbruikten

Twitter heeft een netwerk van nepaccounts gesloten dat een functie van de api misbruikte om telefoonnummers bij accounts te vinden. Dat was een bekend probleem dat een beveiligingsonderzoeker vorige maand ontdekte.

Twitter schrijft in een blogpost dat het een 'groot netwerk van nepaccounts' uit de lucht heeft gehaald. Dat netwerk zou de api van Twitter hebben misbruikt om telefoonnummers bij accounts te vinden. De functie was een feature waarbij gebruikers via hun contactenlijst vrienden kunnen vinden op het platform, maar het bleek mogelijk de functie op grote schaal te misbruiken. Techcrunch berichtte in december al over een beveiligingsonderzoeker die de feature had uitgebuit om 17 miljoen accounts aan een telefoonnummer te koppelen. Twitter begon daarna een onderzoek en zegt nu dat een netwerk die feature actief uitbuitte. Dat gebeurde op 24 december vorig jaar.

Het is niet bekend om hoeveel accounts het precies gaat. Het bedrijf zegt dat de accounts uit verschillende landen kwamen, maar dat een 'opvallend hoog aantal requests' van ip-adressen in Iran, Israël en Maleisië kwamen. Volgens het bedrijf is het 'mogelijk' dat sommige van die ip-adressen gelinkt zijn aan staatshackers. Twitter heeft inmiddels de api aangepast zodat het uitbuiten niet langer mogelijk is.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 04-02-2020 08:05 22

04-02-2020 • 08:05

22

Lees meer

Beveiliging en antivirus Api Twitter twitter api

Reacties (22)

-Moderatie-faq
22
22
9
1
0
9
Wijzig sortering
Postman 4 februari 2020 08:34
Het bedrijf zegt dat de accounts uit verschillende landen kwamen, maar dat een 'opvallend hoog aantal requests' van ip-adressen in Iran, Israël en Maleisië kwamen. Volgens het bedrijf is het 'mogelijk' dat sommige van die ip-adressen gelinkt zijn aan staatshackers.
Wat een onzin statement is dit nu weer van Twitter. Ik had wel iets meer professionalisme verwacht van hun. Door zulke berichten zorg je er alleen maar voor dat de meeste mensen zonder grote IT kennis nog meer een hekel krijgen aan Iran en Israël (want nog nooit van VPN en IP spoofing gehoord).
Komt op mij ook erg over dat Twitter gewoon een stomme implementatie van hun api heeft gemaakt en nu iemand de schuld wil geven, zonder zelf schuld te bekennen.
CivLord @Postman4 februari 2020 10:35
Dat is puur om hun eigen falen iets minder te doen lijken.
Wanneer ze toe zouden geven dat over de hele wereld tieners op hun zolderkamertjes hele databases aan het binnen hengelen zijn om die voor een paar centen op het Darkweb te kunnen verkopen, slaan ze een flaterfiguur. Dat wekt de indruk dat ze de deur wagenwijd open hebben gezet en toe zaten te kijken hoe jan-en-alle-man er vrolijk met de gegevens van door gingen. Noem een paar grote landen die óf tegenstander zijn van de landen waar een groot deel van je gebruikers vandaan komen en/ of die bekend staan om hun overheidshackers en je creëert het beeld van grote organisaties met onbeperkte middelen die zeer geraffineerde hack-aanvallen kunnen uitvoeren waar een normaal bedrijf nauwelijks tegen bestand is en nauwelijks kan ontdekken. Waar je 'hackers' vandaan komen is totaal niet relevant, wanneer je eigen API 'lek' is.
Blokker_1999
@Postman4 februari 2020 08:38
Misschien is het bericht wel net gesponsord door NordVPN :+

Ik zou dan wel eens graag de statistieken zien waarmee ze deze claims maken alsook de beredenering waarom het staatshackers zouden zijn. Lijkt me eerder dat er gewoon veel mensen aan datavergaring hebben willen doen om weer lijsten op te stellen die ze kunnen verkopen.
Mel33 @Postman4 februari 2020 08:54
Maar wacht even, als je het artikel leest kan je het ook zo lezen, De deur is open en er is onrechtmatig binnengetreden door de volgende personen, Iran, Israël en Maleisië< slag om de arm ivm vpn en misleiding, maar ze kunnen het(de hack) ook gemonitord hebben en de daders wel goed in het vizier hebben gehad.
supersnathan94 @Mel334 februari 2020 12:44
Met een leuke VPN valt er niks te monitoren op een API hoor. Wat er achter die VPN gebeurt kun je niet zien. Met een website is dan anders aangezien je tracking cookies kunt inzetten (want die heeft twitter overal) met restcalls is dat een heel ander verhaal.

Ik geloof er iig geen snars van.
RedPixel 4 februari 2020 08:10
Hmm, mogelijk verklaart deze bug waarom ik opeens weer door willekeurige buitenlandse nummers gebeld word?
Tozz @RedPixel4 februari 2020 09:12
Dat lijkt mij niet. Dat soort scam belt voor zover ik weet gewoon random nummers. 't is helemaal niet nodig om daarvoor eerst moeite te doen om het Internet af te zoeken, je kunt gewoon beginnen bij 0600000000 en er telkens 1tje bij op tellen. Een uitgaand gesprek dat niet wordt opgenomen kost namelijk niets.
SkyStreaker 4 februari 2020 08:27
Kreeg de laatste tijd vaak telefoontjes uit Groot-Brittannië, hele korte calls - dacht eerst wangiri fraude maar in dit licht...
MsG @SkyStreaker4 februari 2020 09:15
Lijkt me een beetje nodeloze moeite voor de bellers. Je kan gewoon geautomatiseerd de lokale nummering een voor 1 af gaan, en bij opnemen iemand verbinden met diegene. Waarom zouden ze zich beperken tot een groep twitter-accounts? Die zijn in potentie meer tech-savvy en daardoor minder makkelijk om de tuin te leiden.
WhiteDog 4 februari 2020 08:28
Je kan in theorie alle telefoonnummers van Nederland in je adressenlijst zetten en dan zoekt Twitter er voor jou wel de accounts bij. Ze kunnen dit inperken maar niet stoppen zonder die feature af te zetten. Je maakt me ook niet wijs dat bovenstaande al 10x gedaan is en deze lijsten niet voor een paar euro te koop zijn op het Dark Web.
supersnathan94 @WhiteDog4 februari 2020 12:47
Whatsapp had dat probleem ook. Daarmee kon je van random nummers accountgegevens (namen) en PF zien. Dit hebben ze gelukkig een beetje dicht gezet. Zij gingen er ten onrechte vanuit dat een contactenlijst te vertrouwen is als waarheid voor mensen die je kent.
The Zep Man
4 februari 2020 08:09
Hoe moeilijk is het om een nieuw account aan te maken en een nieuwe API key te verkrijgen?
Bas170 @The Zep Man4 februari 2020 08:12
Daar heb je weinig aan:
Twitter heeft inmiddels de api aangepast zodat het uitbuiten niet langer mogelijk is.

[Reactie gewijzigd door Bas170 op 23 juli 2024 18:52]

The Zep Man
@Bas1704 februari 2020 08:23
Het gaat erom dat de accounts waarschijnlijk überhaupt van de API gebruik maakte. Met andere woorden, je 'straft' iemand mogelijk niet door het bannen van een account.

Ze hadden ook de API dicht kunnen timmeren en de accounts niet kunnen bannen. Dat had hetzelfde resultaat gehad.
Huugje @The Zep Man4 februari 2020 08:42
Waarom accounts laten bestaan waarvan ze weten dat het nepaccounts zijn? Nepaccounts die blijkbaar enkel en alleen aangemaakt zijn om misbruik te kunnen maken van deze kwetsbaarheid. Nu die gedicht is, zullen de accounts hoogstwaarschijnlijk ook niet meer gebruikt worden, tenzij er een nieuwe kwetsbaarheid opduikt.
The Zep Man
@Huugje4 februari 2020 08:57
Waarom accounts laten bestaan waarvan ze weten dat het nepaccounts zijn? Nepaccounts die blijkbaar enkel en alleen aangemaakt zijn om misbruik te kunnen maken van deze kwetsbaarheid.
Andersom de vraag: waarom zou je ze sluiten als de kwetsbaarheid niet meer misbruikt kan worden?

Het voelt alsof er maar gedweild wordt om maar te laten zien hoe gedweild wordt, terwijl de kraan nog open staat. Doe eerst/ook iets aan de oorzaak (mogelijkheid om nepaccounts aan te maken en te blijven gebruiken), want anders is het wachten op het volgende misbruikscenario.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 18:52]

Oon @The Zep Man4 februari 2020 08:12
Niet zo heel moeilijk. Voor vrijwel iedere plek op het internet is dit te automatiseren, en je kunt voor een paar cent per account dingen als captchas door 'echte' mensen laten oplossen.
mjz2cool @The Zep Man4 februari 2020 08:18
Ik mag toch hopen dat ze die bug gefixed hebben.
MauvL 4 februari 2020 08:45
Dit lijkt e.e.a. te verklaren: Tweetcaster deed het op 28 januari plots niet meer. Code 401 en een autorisatie issue. Nou viel mij op dat Tweetcaster al jaren geen update had gehad en nu moest worden aangepast door de API van Twitter te laten vernieuwen.
Ik ben direct op zoek gegaan naar een nieuwe app, die weliswaar functioneel niet allemaal even goed waren, maar wel met afdoende update policy, waardoor dat API issue zich in geval niet voordeed. Alles werkte zoals het hoort.
Pas 3 dagen later schijnt Tweetcaster te zijn geüpdatet, voor mij te laat.

In januari heb ik wel 3 x een phishing sms gehad. Van mijn leven nooit last van gehad. Zou het....?
Honytawk 4 februari 2020 09:22
Waarom heeft Twitter zelfs die telefoonnummers nodig?
Iedereen blijft die bedrijven maar data voederen en dan verschieten ze dat zo'n dingen gebeuren.
CivLord @Honytawk4 februari 2020 10:44
Omdat gebruikers van Twitter dan via hun telefoonnummer gekoppeld kunnen worden aan bekenden die in hun telefoonboek staan.
Sommige mensen vinden het interessant dat ze bekenden op Twitter kunnen volgen, of dat bekenden hen op Twitter kunnen volgen.
mutley69 4 februari 2020 22:27
Wanneer stopt Twitter het misbruik van een zekere mr. Donald Strumpf?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq