Хакер заставил отписываться от фактов о кошках через Twitter

Примерно неделю назад некоторые пользователи Twitter начали получать SMS-сообщения с фактами о кошках. В них также указывалось, как можно отписаться от рассылки — для этого нужно написать Эдварду Сноудену твит с текстом «Meow, I <3 catfacts».

To unsubscribe, tweet @Snowden "Meow, I <3 catfacts" Stop spamming me with this!!!!!!! Ps: I hate cats!

— Paola Bisoneaux (@bisoneaux) 12 ноября 2015

don't give out your phone number kids - @Snowden Meow, I <3 catfacts pic.twitter.com/KyqZMGggCm

— ️️️️️ (@artaimh) 18 ноября 2015

@Snowden "Meow, I <3 catfacts" I HAVE REPEATEDLY SENT THIS MESSAGE FOR U TO STOP TEXT MESSAGING ME! NOW STOP THEM ASAP!

— Darlene Hollingswort (@dardar455) 13 ноября 2015

Рассылку начал анонимный программист под никнеймом Daytona, выяснило издание Motherboard. Он использовал API Twitter, чтобы найти телефонные номера, которые пользователи выложили в свои профили. Чтобы найти твиты, он вводил в строке поиска ключевые слова и выражения, которые обычно добавляют к номерам телефонов.

После этого он нашёл сайт для бесплатной рассылки SMS, взломал ограничение, которое защищала «слабая CAPTCHA», и начал отправлять на найденные номера факты о кошках.

В конце всех сообщений говорилось: «Чтобы отписаться, напиши „Meow, I <3 catfacts“ в твиттер Эдварда Сноудена» (вероятно, сначала Daytona указал свой твиттер, поскольку первые сообщения адресованы ему).

«Когда люди выкладывают фотографии водительских прав или дебетовых карт, они обычно понимают свою ошибку, если кто-то ретвитит их сообщение», — говорит Daytona, уточняя, что люди обычно не беспокоятся, когда выкладывают номер своего телефона. Программист отмечает, что телефонные номера могут использоваться не только для рассылок, но и для взлома смартфонов на Android через ошибку Android Stagefright.

На момент публикации заметки твит с текстом «Meow, I <3 catfacts» написали около 20 человек.