Am 24. Dezember 2019 wurden wir darauf aufmerksam, dass jemand mithilfe eines großen Netzwerks gefälschter Accounts unsere API ausnutzte, um Nutzernamen mit Telefonnummern abzugleichen. Wir haben diese Accounts sofort gesperrt und legen dir heute die Details unserer Untersuchung offen, da wir der Ansicht sind, dass du wissen solltest, was passiert ist und wie wir das Problem behoben haben. 

Während unserer Untersuchung haben wir zusätzliche Accounts entdeckt, von denen wir glauben, dass sie denselben API-Endpunkt auf eine Weise ausnutzen, die nicht dem vorgesehenen Anwendungsfall entspricht. Wir haben Accounts in zahlreichen Ländern identifiziert, die diese Verhaltensweisen gezeigt haben, besonders viele Anfragen stammten jedoch von einzelnen IP-Adressen im Iran, in Israel und Malaysia. Es ist möglich, dass einige dieser IP-Adressen Verbindungen zu staatlich gesponserten Akteuren aufweisen. Wir legen das grundsätzlich und vorsichtshalber offen.

Bei bestimmungsgemäßer Verwendung erleichtert es dieser Endpunkt neuen Account-Inhabern, auf Twitter Personen zu finden, die sie möglicherweise bereits kennen. Für Nutzer, die die Option „Personen, die deine Telefonnummer haben, erlauben, dich auf Twitter zu finden und sich mit dir zu verbinden“ aktiviert und eine Telefonnummer mit ihrem Twitter Account verknüpft haben, gleicht dieser Endpunkt Telefonnummern mit Twitter Accounts ab. Nutzer, die diese Einstellung nicht aktiviert haben oder die keine Telefonnummer mit ihrem Account verknüpft haben, waren von dieser Schwachstelle nicht betroffen. 

Nach unserer Untersuchung haben wir sofort eine Reihe von Änderungen an diesem Endpunkt vorgenommen, damit bei Anfragen keine spezifischen Account-Namen mehr zurückgegeben werden. Darüber hinaus haben wir alle Accounts gesperrt, von denen wir glauben, dass sie diesen Endpunkt ausgenutzt haben.

Der Schutz der Privatsphäre und der Sicherheit der Twitter Nutzer hat für uns höchste Priorität. Wir konzentrieren uns weiterhin darauf, Fälle von Missbrauch der Twitter API so schnell wie möglich zu unterbinden. Weitere Informationen zu unseren Bemühungen, Twitter vor Plattformmanipulationen und staatlich unterstützten Aktivitäten im Internet zu schützen, findest du im Twitter Transparenzbericht.

Es tut uns sehr leid, dass dies passiert ist. Wir schätzen das Vertrauen, das uns unsere Nutzer entgegenbringen, sehr und setzen uns jeden Tag aufs Neue dafür ein. Falls du Fragen hast, kannst du dich über dieses Formular an unseren Datenschutzbeauftragten wenden.