近日推特宣布已经修复存在于API中的一个漏洞,该漏洞允许黑客可以轻松地将用户推特账号和手机号码匹配起来。在公告中,推特表示已经检测到数起利用该漏洞发起的攻击,主要来自于以色列,马来西亚和伊朗,并有极大可能有政府参与其中。

推特已修复API漏洞:1700万个电话号码暴力匹配账号
推特已修复API漏洞:1700万个电话号码暴力匹配账号

去年12月,一名安全研究员表示通过利用Twitter Android应用中的一个漏洞将1700万个电话号码跟Twitter用户的账号户匹配了起来。换言之,如果用户在Twitter上上传了自己的电话号码那么平台就会获取用户数据。

Balic指出,Twitter的联系人上传功能不接受连续格式的电话号码列表,这可能就是为了阻止上面的这种匹配。然而,Balic生成了20多亿个电话号码,一个接一个,然后随机分配这些号码并通过Android应用将它们上传到Twitter上。Balic指出,基于web的上传功能中不存在这个漏洞。

Balic称,在两个多月的时间里,他匹配了来自以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国的用户记录,但在Twitter于12月20日对这一漏洞做出反应之后他停止了这种行为。尽管他没有提醒Twitter注意这一漏洞,但他将许多知名Twitter用户(包括政界人士和官员)的电话号码转至WhatsApp群组中以便直接警告用户。

对此,Twitter方面表示,他们正在努力确保不让这个漏洞再次遭到利用。“在得知这个漏洞后,我们暂停了那些非法获取个人信息的账号。保护Twitter用户的隐私和安全是我们的首要任务,我们仍致力于快速阻止垃圾邮件和来自Twitter API的滥用。”

Twitter表示,在看到这份报告后,它立刻进行了干预,并封禁了一个用来查询Twitter API的庞大虚假帐户网络(几乎全用来将电话号码与Twitter用户名进行匹配)。

推特已修复API漏洞:1700万个电话号码暴力匹配账号
推特已修复API漏洞:1700万个电话号码暴力匹配账号

在调查报告期间,这家社交网络公司告诉ZDNet,除了TechCrunch报告的安全研究员之外,还发现了其他第三方也利用了这个API的缺陷。Twitter没有表示这个第三方是谁,但表示其中涉及的一些IP地址与国家资助的黑客行动有关。现如今有越来越多的黑客组织在政府的资助下对他国政府机构和大型企业进行攻击。

分享到: