In einem Blogbeitrag hat Twitter eingeräumt, dass „ein großes Netzwerk von Fake-Accounts“ die API des Dienstes dafür genutzt hat, Nutzernamen mit Telefonnummern abzugleichen. „Wir haben zwar Konten in einer Vielzahl von Ländern identifiziert, die dieses Verhalten gezeigt haben, aber wir beobachteten ein besonders hohes Volumen an Anfragen, die von einzelnen IP-Adressen aus dem Iran, Israel und Malaysia kamen. Es ist möglich, dass einige dieser IP-Adressen in Verbindung zu staatlichen Akteuren stehen“, heißt es in dem Statement von Twitter.
Auf diese Form des API-Missbrauchs aufmerksam geworden ist Twitter durch einen Beitrag von Techcrunch, der am 24. Dezember 2019 veröffentlicht wurde. Darin beschreibt die US-amerikanische Online-Publikation, wie der Sicherheitsforscher Ibrahim Balic über mehrere Monate zwei Milliarden zufällig generierte Telefonnummern über die Twitter-API abgeglichen hat, um so dazugehörige Nutzerkonten zu finden. Nach Angabe von Techcrunch konnte Balic insgesamt 17 Millionen Telefonnummern von Nutzerinnen aus Nutzern aus aller Welt aufspüren. Darunter soll sich auch die Telefonnummer eines hochrangigen israelischen Politikers befunden haben.
Twitter-API wurde angepasst
Eigentlich dient der spezifische API-Endpunkt dazu, dass neue Twitter-Mitglieder auf eine einfache Art und Weise Menschen finden können, die sie kennen und deren Telefonnummer sie daher in ihrem Telefon gespeichert haben. Nach Angaben von Twitter wurde die API mittlerweile angepasst und es sei nicht mehr möglich, konkrete Nutzernamen bei Eingabe von Telefonnummern zurückgeliefert zu bekommen. „Außerdem haben wir jedes Konto gesperrt, von dem wir glauben, dass es diesen API-Endpunkt ausgenutzt hat“, heißt es weiter. Nutzerinnen und Nutzer, die keine Telefonnummer bei Twitter hinterlegt haben, seien von dem Vorfall nicht betroffen.