Twitter 再曝漏洞:1700 萬用戶帳號被匹配至電話號碼

一名安全研究人員表示,利用 Twitter Android 應用的一個漏洞,可以將 1700 萬個電話號碼匹配至至 Twitter 的用戶賬號。

易卜拉欣·巴利奇(Ibrahim Balic)發現,通過 Twitter 的聯繫人上傳功能,可以上傳有意生成的電話號碼列表。他對 TechCrunch 表示:「如果你上傳自己的電話號碼列表,那麼就會返回用戶帳號數據。」

他表示,Twitter 的聯繫人上傳功能不支持順序的電話號碼列表,原因很可能就是為了防止這種匹配。因此,他一個接一個地生成了 20 多億個電話號碼,然後將這些號碼隨機化,並通過 Android 應用將號碼上傳至 Twitter。(巴利奇表示,網頁版的上傳功能並沒有這個漏洞。)

巴利奇表示,在兩個月時間裡,他匹配了以色列、土耳其、伊朗、希臘、亞美尼亞、法國和德國用戶的記錄。不過,Twitter 於 12 月 20 日對此進行了攔截,他隨後停止了這方面工作。

巴利奇向 TechCrunch 提供了他匹配的電話號碼樣本。使用 Twitter 提供的密碼重置功能,我們通過將隨機選擇的用戶名與他匹配到的電話號碼進行了比對,證實了他的發現。

在其中一個案例中,TechCrunch 使用巴利奇匹配到的電話號碼識別了一名以色列政壇的高級官員。

儘管沒有提醒 Twitter 存在這個漏洞,但他將包括政界人士和官員在內的許多知名 Twitter 用戶的電話號碼加入到一個 WhatsApp 群組,嘗試直接警示相關用戶。

巴利奇的工作與本周發佈的一篇 Twitter 博客無關。這篇博客證實,存在一個漏洞可能會讓 「惡意分子看到非公開的賬戶信息或控制你的帳戶」,例如 Twitter 消息、私信和位置信息。

Twitter 發言人表示,該公司正在努力 「確保這個漏洞不會被再次利用」。

「在得知這個漏洞后,我們封禁了用於不當獲得用戶個人信息的帳號。保護 Twitter 用戶的隱私和安全是我們的首要任務,我們仍專註於迅速攔截基於 Twitter API 而出現的垃圾信息和濫用行為。」 該發言人表示。

過去一年,關於 Twitter 的數據安全曝出了多個漏洞。今年 5 月,Twitter 承認將賬戶的位置數據提供給一家合作夥伴,即使用戶選擇不共享自己的這些數據。8 月份,該公司表示,無意中向廣告合作夥伴提供了超過應有水平的數據。就在上個月,Twitter 證實,該公司使用用戶提供的、用於雙因子驗證的電話號碼,來投放精準廣告。

此前,巴利奇因為 2013 年發現影響蘋果開發者中心的安全漏洞而知名。

翻譯:維金

A Twitter app bug was used to match 17 million phone numbers to user accounts


想在手機閱讀更多社交網絡資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems