Okuma Süresi
Twitter, platformda bulunan telefon numarası ve hesap eşleştirme özelliğinin kötüye kullanılmış olduğunu kabul etti. Resmi hesabından yaptığı bir paylaşımla konuyla ilgili incelemelerini aktaran sosyal medya devi, uygulamadaki açığı bularak özelliği istismar eden kötü niyetli kişilerin, devlet destekli aktörler olabileceğini söyledi.
Son yıllarda sosyal medya devlerinin platformlarda bulunan açıklar nedeniyle yaşadığı veri güvenliği skandallarına, Twitter da bir yenisini ekledi. Yaşanan veri güvenliği krizi, bu kez de platformda bulunan telefon numarası ve hesap eşleştirme özelliğinden kaynaklandı. Kısa bir süre önce, Twitter’ın kurucusu Jack Dorsey’nin resmi hesabı da aynı açıktan dolayı kötü niyetli kişiler tarafından hack’lenmişti.
Şirket konuyla ilgili olarak resmi hesabından yaptığı yeni paylaşımda, söz konusu açığın varlığını kabul etti. Yaşananlardan dolayı son derece üzgün olduğunu belirten şirket, sorunu hızlıca düzelttiklerine işaret etti ve takipçileri konuyla ilgili yaptıkları araştırmayı ilgili linkten incelemeye davet etti. Sosyal medya devi, araştırmasında açığı kötüye kullanan sahte hesapların izlendiğini ve IP adreslerinin büyük bir çoğunluğunun İran, İsrail ve Malezya’da göründüğünü ifade etti. Şirket bu adreslerin, devlet destekli aktörlerle ilişkisi olabileceğini de araştırma notlarına ekledi.
We recently discovered an issue that allowed bad actors to match a specific phone number with the corresponding accounts on Twitter. We quickly corrected this issue and are sorry this happened. You can learn more about our investigation here: https://t.co/Z6Q4geQ8jo
— Twitter Support (@TwitterSupport) February 3, 2020
Twitter bununla birlikte, açığı kapatmak ve bu tür siber saldırıların tekrar yaşanmasını önlemek için gerekli önlemlerin alındığını belirtti. Yaşanan veri güvenliği ihlalinin ne gibi sonuçlar doğurabileceği henüz net olarak bilinmese de sosyal medya devi, kullanıcılara şifre değiştirme konusunda herhangi bir uyarı yapmadı.
Ne olmuştu?
Twitter uzun süredir, kullanıcıların telefon numarası bilgisini talep eden veya telefon rehberine erişim izni isteyen diğer tüm sosyal medya platformları gibi kullanıcılardan telefona ilişkin veriler talep ediyordu. Platform, bu erişim iznini kullanıcının SMS aracılığıyla paylaşım yapabilmesini sağlamak amacıyla talep ettiğini söylüyordu. Sosyal medya devi, yakın bir zaman içerisinde kullanıcılardan SMS’le tweet atma özelliğini kullanmıyor olsalar bile iki aşamalı kimlik doğrulama özelliğini kullanabilmek için de telefon numarası bilgilerini talep etmişti.
Fakat 2019’un Aralık ayında veri güvenliği araştırmacısı İbrahim Balic, Twitter’ın Android uygulamasında bir açık bulduğunu ifade etti. Balic tarafından keşfedilen açığa göre uygulama, üçüncü şahısların 17 milyon telefon numarasını ait olduğu hesaplarla eşleştirmesine izin veriyordu. Sosyal medya devi, bu açıklamanın ardından özelliği kötüye kullanan sahte hesapları hemen askıya alarak yaşanan veri güvenliği krizine tepkisini göstermişti.
