هك توييتر شماره تلفن كاربران را به حساب‌هاي جعلي ضميمه كرد

بر اساس گزارشاتي كه از توييتر منتشر شده، در اواخر سال گذشته هكرها به API اين شبكه اجتماعي حمله كردند كه باعث شده بود شماره تلفن‌هاي كاربران به حساب جعلي ضميمه شود. غول شبكه‌هاي اجتماعي مي‌گويد مشكل را برطرف و حساب هاي كاربري جعلي را تعليق كرده است.

هكرها با نفوذ به يكي از API هاي توييتر، به اطلاعات كاربران دسترسي پيدا كرده و با ضميمه كردن شماره‌هاي آن ها به حساب‌هاي جعلي، دردسر زيادي براي توييتر و كاربران ايجاد كردند. توييتر مي‌گويد كه حساب هاي كاربري جعلي را در لحظه غير فعال كرده است. مكانيزم اين هك اين گونه است كه ابتدا هكرها به دنبال حساب‌هايي مي‌روند كه شماره تلفن ثبت شده دارند. سپس آن‌ها بررسي مي‌كنند كه گزينه «به كاربراني كه شماره شما را دارند اجازه دهيد در توييتر پيدايتان كنند».

سپس براي پيدا كردن شماره كاربران، تعداد زيادي درخواست به API توييتر كه رابط بين بك اند و وب سايت و برنامه توييتر بود ارسال كردند و توانستند شماره‌ها را به حساب‌هاي جعلي خود ضميمه كنند. يكي از سخنگويان توييتر در اين رابطه مي‌گويد:

شخصي با استفاده از تعداد زيادي اكانت جعلي سعي داشت تا API ما را اكسپلويت كرده و حساب‌هاي جعلي را به شماره تلفن افراد متصل كند. پس از بررسي دقيق، توانستيم تعدادي تغيير در API ايجاد كنيم كه از اكسپلويت شدن آن جلوگيري مي‌‌كرد.

اين اقدام يكي از مثل‌هاي بارز سيستم اسكرپينگ است كه در آن تعداد زيادي از داده‌هاي كاربران توسط هكرها در شبكه‌هاي اجتماعي جمع‌آوري مي‌شود. سوءاستفاده كنندگان، درخواست‌هاي خودكاري مي‌فرستند كه به كمك آن‌ها بتوانند اطلاعات خصوصي كاربران را جمع‌اوري كنند. البته ممكن است اين اطلاعات عمومي بوده و در پروفايل شخص نيز نمايان باشد.

توييتر تنها نيست و چندي پيش نيز فيسبوك و اينستاگرام هم چندين مورد از هك‌هاي مبتني بر مكانيزم اسكرپينگ را گزارش كرده بودند كه طي آن اطلاعات كاربران لو رفته بود. گفته مي‌شود اين اطلاعات در دارك وب به فروش مي‌رود. با اين حال غول شبكه‌هاي اجتماعي مي‌گويد كه اكانت‌هاي جعلي از كشورهاي مالزي، اسرائيل و ايران نشات گرفته است.

همچنين اين شبكه اجتماعي عنوان كرده كه احتمال مي‌دهد اين هكر‌ها توسط دولت پشتيباني شوند، زيرا پس از گرفتن شماره تلفن‌ها، آن‌ها تلاش زيادي براي به دست‌آوردن نام كاربري و رمز عبور حساب‌ها كرده بودند. با وجود اين كه توييتر مي‌گويد هزاران حساب كاربري جعلي را غير فعال كرده، نمي‌تواند رقم دقيق آن را گزارش كند.